为修复漏洞,升级bladex版本相关问题

Blade 未结 1 139
zjw37160
zjw37160 剑童 22小时前
悬赏:10

当前使用版本为bladex版本为2.9.1.RELEASE

因为修复下列两个漏洞需要升级bladex版本

Spring Framework 特定条件下目录遍历漏洞(CVE-2024-38816)

Spring Framework 特定条件下目录遍历漏洞(CVE-2024-38819)


目前看至少需要升级到bladex4.0.0版本以上才能修复下列漏洞

当前我们对bladex旧版本代码进行了大量修改,包括登录模块,人员角色管理,权限管理模块等基础模块

请问有什么方法可以快速升级版本?少影响业务,我们修改的代码如何快速安全的迁移到新版本?

我们自己修改的代码可以一步从2.9.1.RELEASE合并到到4.0.1版本吗?还是需要逐个版本合并代码升级?

另外升级框架只是为了修复这两个漏洞,请问有办法可以在不升级框架的情况下,让这两个漏洞扫描不出来吗?(漏洞对系统实际没有影响)



1条回答
  • 不一定要升级bladex,你们需要做的只是升级到jdk17和springboot3的架构就行了。已生产的项目既然已经有了大量改动,那就不要再去改底层源码了,会有较大风险。


    框架级别升级到jdk17和springboot3的注意点可参考:https://center.javablade.com/blade/BladeX-Doc/src/branch/master/%E7%AC%AC7%E7%AB%A0%20%E7%B3%BB%E7%BB%9F%E5%8D%87%E7%BA%A7/7.34%20%E4%BB%8E3.4.0%E5%8D%87%E7%BA%A7%E8%87%B34.0.0.md


    作者追问:22小时前

    你好,请问如何在不升级blade版本的情况下,直接升级到springboot3呢?具体需要先修改哪些位置?谢谢

    作者追问:21小时前

    我看你发出来的链接文档是需要升级到blade4.0的

    回答: 21小时前

    这个是让你参考的,里面标注了升级jdk17和springboot3的注意点。不一定要底层全部升级,只需要升级版本号。

    你也可以参考bladex从3.x升级到4.x的提交记录,看看仅从升级适配方面,改动了哪些。原本bladex的功能如果不影响适配是可以不去管他的。

    作者追问:21小时前

    你的意思是可以直接在bladex-tool工程这里直接改springboot的版本号升级到springboot3吗?你们之前有这样操作成功的案例吗?还有没其他需要注意的点?


    image.png

    回答: 21小时前

    这个倒是没有,大家都是持续做架构升级的。4.0发布后当天就有用户升级完毕了。

    作者追问:21小时前

    那就是可以在这里修改版本号升级吗?

    回答: 21小时前

    可以,就是在这改版本号,然后去适配他的兼容性

    回答: 21小时前

    或者你直接百度或者谷歌搜索springboot2升级至springboot3注意点,参考别人通用的升级方案。

    1 讨论(0)
代码语言
提交回复