【异常】BOOT-INF/lib/目录下文件被扫出有漏洞,应该怎么修复?

已于 2023-09-19 22:37:51 修改
阅读量561 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 001 - 基础开发能力 文章标签: maven
于 2023-07-15 17:37:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wstever/article/details/131583489
这篇博客讲述了作者在阿里云服务上遇到的渗透测试扫描报错,涉及BOOT-INF/lib/calcite-core-1.27.0.jar的安全漏洞。通过使用IDEA的Maven Helper插件分析依赖关系,发现该jar包是间接依赖于shardingsphere-jdbc-core-spring-boot-starter。最终,作者选择了移除该依赖来解决问题。

一、背景说明

客户使用的是阿里云的云服务,阿里云上面的渗透测试扫描会定期对运行在上面的云服务进行漏洞检查,因此没有几轮的漏扫是不会放过你了额。

这次收到了如下的内容

ContainerName:commonprovider, ImageName:commonprovider:V0.2.12_Server_T;软件:apache-calcite 1.27.0
命中:["apache-calcite version less than 1.32.0"]
路径:/data/commonProvider-1.0.0.jar(BOOT-INF/lib/calcite-core-1.27.0.jar)
扩展信息:{
   
   }

二、报错内容分析

从报错内容来看

了解本专栏 订阅专栏 解锁全文 超级会员免费看
扫描出漏洞,需要升级jar包,但是找不到?
**My Coding Family**
01-31 1138
🏆本文收录于专栏,主要记录项目实战过程中所遇到的Bug或因后果及提供真实有效的解决方案,希望能够助你一臂之力,帮你早日登顶实现财富自由🚀;同时,欢迎大家!持续更新中,up!up!up!!
编程实践精华总结集锦系列1: SpringBoot/Maven/IDEA/Java/Kotlin/Redis等等
AI天才研究院
07-24 1万+
UNIX 设计哲学:Do one thing and do it well一次只做一件事,并做到极致。《UNIX编程艺术》一书,提出的17条编程原则,经过时间和实践的锤炼,发展成为Unix...
Spring Boot 本地jar包
a8865423的博客
11-19 1020
一:问题场景 在开发过程中,我们有时会遇到Maven中央库没有的jar包,比如公司自己开发的而又没有放入公司私库的jar包,这时就不能通过三围在pom中直接引入。那么怎么在项目中引入这些本地或第三方jar包呢? 二:解决方法 常用的解决方法主要有两种。 第一种是将本地jar包安装在本地maven库。这种方法简单方便,以后其他项目需要引入时不需要再次安...
SpringBoot项目打包分离lib包与配置文件
时代各有不同,青春一脉相承。
11-19 6402
SpringBoot初始化建立项目默认的spring-boot-maven-plugin插件,进行项目打包,这个插件会将项目所有的依赖打入BOOT-INF/lib下,package打包后,打出的是完整的可运行的jar包,根据项目的不同大小不同,整体来说是比较大的。替换为maven-jar-plugin打包插件先后分别双击执行clean和package命令,进行清理和打包。这样就完成了配置文件以及lib包和jar的分离了,并且jar在运行的时候会默认去读取config文件夹中的配置,修改起来非常方便。
Apache Calcite Avatica官方通告一个RCE漏洞,建议升级该组件到1.22.0及以上版本
OSCS开源安全社区
07-31 1021
2022年7月28日,ApacheCalciteAvatica官方通告了一个RCE漏洞,Avatica是一个用于构建数据库驱动程序的框架,它的驱动程序`httpclient_impl`连接属性可用作RCE向量,攻击者可利用该漏洞执行任意代码。1.攻击者可控制JDBC连接参数2.类路径中有易受攻击的类漏洞严重等级为高受影响版本为......
更新spring boot jar包中的BOOT-INF/lib目录下的jar包
nly19900820的博客
08-08 1373
在a.jar所在的文件夹运行jar -uf0 a.jar BOOT-INF/lib/b.jar命令,即可将修改后b.jar无压缩地添加a.jar的指定路径中。在a.jar包所在文件夹新建BOOT-INF文件夹,再在BOOT-INF下新建lib文件夹;保存修改后lib下的b.jar时压缩软件对b.jar进行了压缩,导致b.jar包损坏。更新spring-boot jar包中的BOOT-INF/lib目录下的jar包。复制BOOT-INF/lib下的b.jar包到以上新建的lib文件夹下;
SpringBoot 读取 jar 包中 BOOT-INF/lib 下的 jar包
FunnyWhiteCat的博客
06-02 4931
SpringBoot 读取 jar 包中 BOOT-INF/lib 下的 jar包
WebGoat JAVA反序列化漏洞分析复现_webgoat反序列化,苦熬一个月
2401_83974064的博客
04-18 587
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
CISCN2024-Web方向题解
Err0r233的博客
05-21 2983
被CISCN打烂了,几个题都是差一点就出,自己还是太菜了。
SpringBoot子模块引入本地jar包并打包到BOOT-INF/lib目录
weixin_45902973的博客
01-21 3328
1、首先在子模块lib目录下加入本地jar包, 2、在子模块pom文件中引用lib目录下面的jar包,groupId,artifactId,version可随便写,${project.basedir}表示系统目录, 然后在项目父pom文件中加入以下插件即可 <plugin> <groupId>org.springframework.boot</groupId> <artifa
spring-boot子模块打包去掉BOOT-INF文件
dielucuan8830的博客
03-21 324
1、spring-boot maven打包,一般pom.xml文件里会加 <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> </plugin...
spring-boot项目打包时候出现boot-inf文件夹的问题
热门推荐
一名普通码农的菜地
03-21 3万+
前言 这问题不是我发现的。。刚好碰到而已,下面几位同仁都遇到过: spring-boot子模块打包去掉BOOT-INF文件夹 摘抄如下: 1.spring-boot maven打包,一般pom.xml文件里会加 <plugin> <groupId>org.springframework.boot</groupId> <artifactId...
Spring Boot Jar部署:处理BOOT-INF/lib/byte-bud编程异常
PixelLogic的博客
08-16 666
总结起来,当在Spring Boot Jar部署过程中遇到"Failed to get nested archive for entry BOOT-INF/lib/byte-bud"异常时,我们可以尝试更新Spring Boot版本、清除Maven或Gradle本地仓库、排除冲突的依赖项、重建Jar文件以及检查依赖项配置等方法来解决该问题。在Spring Boot的构建工具(如Maven或Gradle)配置文件中,尝试排除与异常消息中提到的依赖库相关联的任何其他依赖项。完成后,重新构建并尝试部署应用程序。
springboot打包方式,虽然jar包在BOOT-INF中的lib包下,但是仍然报错:NoClassDefFoundError
最新发布
weixin_44889858的博客
05-24 447
jar包内有依赖,提示找不到
手动引入jar包并打包进BOOT-INF/lib
Khan的博客
03-16 931
手动引入本地jar文件
Spring Boot Maven插件打包后,包内没有BOOT-INF目录(Spring Boot Maven Plugin - No BOOT-INF directory)
lilin1408的博客
07-04 6479
使用maven插件打包后,发现包很小100来kb,显然是不对,包内缺少BOOT-INF目录BOOT-INF是用于存放引用的外部lib的,所以缺少,打出来的包根本不能运行 解决办法 在自己项目的pom中,或者父pom中,在plugin中添加executions节点代码,重新打包即可解决。 <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-ma
【已解决】spring-boot项目使用maven打包时出现BOOT-INF文件夹的问题
wufaqidong1的博客
10-05 2285
jar中多了这个BOOT-INF文件夹的原因,主要是因为我们在maven的pom文件中加入了。,意思也就是跳过这个插件的配置。子标签,并将skip的值设为。标签,并在里面嵌套加入一个。
飞腾FT-2000/4 U-BOOT开发与使用手册
- 源代码文件夹说明:手册中可能包含了对U-BOOT源码目录的解释,包括各个子目录的功能,例如包含配置文件目录、驱动程序、主板支持包等。 2. U-BOOT启动流程: - 板级初始化:详述了从上电到操作系统加载之前,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

本本本添哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值