New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
spring版本太低有漏洞 #8169
Comments
@ i will solve it @ |
我来参考 GHSA-36p3-wjmg-h94x 升级一下版本 |
已提PR升级Spring:
升级spring-boot到2.6.6时遇到如下问题:
|
补充一下上面关于循环依赖:
|
能再具体点吗?,直接把循环依赖的报错日志信息贴出来比较好,循环依赖是需要解决的。 2.1版本应该就已经会检测循环依赖了。 |
不好意思,循环依赖的错误我同步到PR上了,忘记同步到这边了我, 转一下:
(建议 循环依赖的问题 我们统一在2.x的这个PR #8184 讨论吧,因为只有2.x出现了循环依赖) |
循环依赖问题可能是重构引入的,需要单独解决一下,不需要加那个参数。解决之后再升spring版本也可以。 |
还可以去掉 HikariCP 的版本自定义,让 spring-boot-dependencies 统一管理版本号,会跟随其升级。 <HikariCP.version>3.4.2</HikariCP.version>
<!-- HikariCP -->
<dependency>
<groupId>com.zaxxer</groupId>
<artifactId>HikariCP</artifactId>
<version>${HikariCP.version}</version>
</dependency> |
确实是有这个问题,报错如下:
我来修复一下 |
@liqipeng HikariCP prometheus-simpleclient 也都可以考虑下 |
我先解决下已知问题,尽量不扩大变更范围了。 |
or
|
我提了一个pr: 用的是 file:. |
可能会有向后兼容性影响,后续需在升级文档里说明一下。我再找找有没有更兼容的解决办法。 |
@CherishCai prometheus-simpleclient确实是存在兼容性问题,见 #8539 。你之前反馈 HikariCP 需升版也是遇到过问题了吗? |
那倒没有,只是想让 HikariCP 跟随 spring 统一管理的版本而已。 |
ok |
* fix issue alibaba#8169 . * reset properties.
spring-projects/spring-boot#30492
目前版本可能存在spring4shell漏洞
The text was updated successfully, but these errors were encountered: