修改/升级jar包中内嵌jar包的版本号

最新推荐文章于 2024-10-05 21:35:43 发布
原创 最新推荐文章于 2024-10-05 21:35:43 发布 · 7.1k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jar #java #开发语言

本文介绍如何解决FastJSON和Logback的安全漏洞问题。针对FastJSON,可以通过升级版本来修复;对于Logback,则需调整pom文件,移除并重新引入相关依赖。文章详细展示了具体的配置代码。

参考资料:

参考文章icon-default.png?t=M4ADhttps://blog.youkuaiyun.com/u011482647/article/details/122101243

实现原理:

  • 根据JVM加载规则,jar包中引用的第三方jar包,和直接从pom文件或者直接导入存储的路径是一样的,就比如下面的例子:
  • 我们引入了seata包,里面内嵌了阿里巴巴的fastJson包

  •  然后maven仓库的存储路径是:

  •  seata包中的程序,需要fastJSON就会到com.alibaba.fastJson目录下找本项目引用的版本

 

  •  但是由于fastJson1.2.83以下的版本有安全漏洞,所以我们需要将seata中的fastJson进行升级,我们只需要将这个低版本的去掉,然后引入一个高版本的即可

  •  这样并不会影响到seata以及整个项目的使用,因为他们都是在com.alibaba.fastjson文件夹下寻找的

总结:总而言之,即使是jar包引用的其他第三版jar包,也是独立的,可替换的,无论谁加载的路劲都是一样的。

实际问题:

  • 最近fastJson和LogBack相继爆出安全漏洞,老板也让我们抓紧修复,fastJson修复方法同上,logBack的修复方法,参考一位老哥的,见参考资料
  • 过程是:
  • (1)先将logback的上游jar包剃掉,通常是:spring-boot-starter-logging

  • 然后在重新引入即可,pom关键内容如下: 

 

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <exclusions>
                <exclusion>
                    <artifactId>spring-boot-starter-logging</artifactId>
                    <groupId>org.springframework.boot</groupId>
                </exclusion>
            </exclusions>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-logging</artifactId>
            <exclusions>
                <exclusion>
                    <artifactId>log4j-api</artifactId>
                    <groupId>org.apache.logging.log4j</groupId>
                </exclusion>
                <exclusion>
                    <artifactId>log4j-to-slf4j</artifactId>
                    <groupId>org.apache.logging.log4j</groupId>
                </exclusion>
                <exclusion>
                    <artifactId>logback-classic</artifactId>
                    <groupId>ch.qos.logback</groupId>
                </exclusion>
            </exclusions>
        </dependency>

        <dependency>
            <groupId>ch.qos.logback</groupId>
            <artifactId>logback-classic</artifactId>
            <version>${logback.version}</version>
            <exclusions>
                <exclusion>
                    <artifactId>logback-core</artifactId>
                    <groupId>ch.qos.logback</groupId>
                </exclusion>
            </exclusions>
        </dependency>

        <dependency>
            <groupId>ch.qos.logback</groupId>
            <artifactId>logback-core</artifactId>
            <version>${logback.version}</version>
        </dependency>
  • 另外提一句,IDEA的依赖树,内嵌的对于查找某个jar很好用,新窗口的查找太好用 

 

 

springboot修改依赖jar版本
renkai721的专栏
04-25 4913
springboot修改依赖jar版本
【Maven 插件】为 jar 添加代码版本信息 —— git-commit-id-plugin
一个被IT搞的
01-15 2951
背景 在软件中添加代码版本信息是许多组织使用的管理技巧。 这些信息在很多场景中可以发挥重要作用。 对于一些尚处于混沌状态的萌芽组织来说,这些信息几乎可以在排障过程中发挥灯塔的作用。 组织管理不善会引发很多“人祸”。 软件覆盖版本发布?代码分支管理方法混乱?代码 tag 覆盖打?系统出了问题,不知道软件是哪个分支、哪次提交构建的? 一个真实的项目 该项目基于 git 管理代...
spring3升级到4.3.15所需要的jar升级步骤
04-27
1.替换jar 2.将配置文件的3.0 改成4.0 3.jackson也在这里,要把原来的低版本删除 4.项目和tomcat要用jdk1.7
手工修改jar版本号及上传仓库
pcww12的博客
09-01 2200
手工修改jar版本号并上传maven仓库
Jar修改其中外部引用的Jar版本
weixin_47631368的博客
01-18 1439
报错:Failed to get nested archive for entry BOOT-INF/lib.... jar修改添加外部jar
springboot中 jar中带start的与普通jar的区别
08-16
这种机制避免了手动指定版本号的需求,从而减少版本冲突的风险。例如,在引入 `spring-boot-starter-data-jpa` 时,它会自动引入合适的 `spring-orm`、`hibernate-core` 等依赖,并确保版本兼容性[^1]。 普通 jar ...
Spring Boot自动配置JAR中英文对照文档
版本号“2.1.2.RELEASE”则表明这是Spring Boot 2.1.x系列中的一个稳定发布版本,属于较早期但依然广泛应用的版本分支,适用于学习其内部机制或维护遗留系统。 该压缩的核心价值体现在其所附带的“中文-英文...
springboot 打部署jsp页面两种方式war/jar
冬阳
10-05 1253
springboot 使用jsp模版解析页面;两种打方式,war和jar方式,详情教程
Eclipse FatJar插件0.0.27版本打工具
其中“net.sf”通常代表SourceForge这一开源项目托管平台,“fjep”可能是“Fat Jar Eclipse Plugin”的缩写,“fatjar”则是核心功能模块名称,而“0.0.27”表示当前版本号,说明这是一个较为早期的稳定发布版本。...
mvn install:install-file -Dfile=broker-7.0.0.jar -DgroupId=ids.messaging -DartifactId=broker -Dversion=7.0.0 -Dpackaging=jar 使用命令安装jar,但是 pom文件和 jar中不一致
最新发布
09-11
考虑到用户指定了完整的坐标(groupId/artifactId/version),但依然出现不一致,怀疑有三个潜在原因:一是原始JAR内嵌的pom.properties与用户指定冲突(常见于修改版本号时),二是JAR含自动生成的POM(某些构建...
maven改了jar版本号项目报错起不来
weixin_44483079的博客
03-21 1251
因为我发现maven的项目一直存在一个问题,改了依赖的版本号,结果项目还是引用的老的版本,好几次这种问题了,总结一下,直接删掉本地仓库中这个依赖的所有版本,再重新刷新去中央仓库下载,还有改了父工程pom中依赖的版本结果还是引用的原来的版本,idea也不去下载新的版本,然后我在子工程里面加上最新的版本依赖结果可以自动下载最,然后然后父工程改了版本号就自动引用了。
修改springboot内置jar的默认版本
litlit023的专栏
02-20 3795
目录 1. 概述 2. 修改内置tomcat的版本 3. 参考资料 1. 概述 使用springboot开发项目时,其会内置一些jar版本,例如内置的tomcat为embed-tomcat,如下图tomcat-embed-core:9.0.24表示内置的使用的tomcat版本是9.0.24。 由于某些原因,如安全漏洞问题,我们需要修改tomcat的版本,此时有两种方法,一种是直接升级使用的springboot版本,另一种就是只升级tomcat的版本。其中第二种代价较小,但是要注意升级后的版
构建项目jar时更改Maven项目中pom.xml文件的版本号
qq_21305943的专栏
07-06 3943
mvn命令更改项目jar中的版本号
java 修改jar的版本信息,给Jar添加版本信息,Jar添加版本信息,我们有下面的代码:pa...
weixin_34731498的博客
03-14 1555
Jar添加版本信息,Jar添加版本信息,我们有下面的代码:pa我们有下面的代码:package cn.outofmemory;public class Hello { public static void main(String[] args) { new Hello().say("Hello World!"); } public void say(String s) { ...
Java修改Jar的源码,并上传Nexus私有仓库,替换jar版本
Yal_insist的博客
11-04 2207
Java修改Jar的源码,并上传Nexus私有仓库,替换jar版本
Maven教程-maven中剔除或替换依赖版本的jar
热门推荐
蜜獾互联网
12-06 2万+
Maven中引用jar会引用他所依赖版本的jar,会造成版本混乱,和难以维护因此需要剔除和替换 一.依赖问题原因          概括:项目中引用Spring的jarMaven把依赖的log4j-1.0.jar引入进来了,   项目中引入Hibernate的jar和log4j-1.5.jar引进来了,整个项目中引入了多个版本log4j-x.jarjar,这种依赖关系混乱不?所以...
如何通过jar得知maven坐标,以及如何替换依赖的依赖的版本
TingSty小z的博客
02-24 4350
从结果中可以看到是哪个模块,哪个依赖引入的,以及依赖引入的scope,注意provided不会打进去,解决这个问题应该是从最基础的模块开始解决。使用这个命令就能找到所有的引入com.fasterxml.jackson.core:jackson-databind依赖的引入路径。思路1:将jar的名字(去除版本号)在mvn仓库中搜索,地址:https://mvnrepository.com/,看能不能找到。思路:首先需要排除掉多余的依赖引入,可以在相关的依赖上用。思路:使用maven命名查找。
spring项目 修改jar里的文件
qq_42546635的博客
06-05 1154
离线模式下,需要先将1.2.83依赖手动放在当前项目的maven仓库中,(具体过程就不再进行描述,如有不会,可直接参考百度),再修改pom.xml中fastjson版本号为1.2.83。在linux服务器上解压jar,得到的内容和使用解压器打开jar查看目录内容一致。先将旧版本依赖删除(也可以不删除,但是我的项目上会对漏洞进行扫描,所以必须删除),再加入新版本依赖。找到lib目录,将fastjson旧版本依赖删除,替换为1.2.83版本依赖。1.解压整个jar后,替换fastjson依赖。
解决springboot项目启动jar中的携带先行版本号问题
qq_42449963的博客
08-09 1279
主启动jar的MANIFEST.MF文件中的jar名称携带先行版本号,导致对应jar中的类找不到。在springboot工程的pom.xml文件中添加。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

PH = 7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值