Spring Boot之內(nèi)嵌tomcat版本升級(jí)操作示例

更新時(shí)間：2022年06月08日 09:45:35 作者：徐徐長(zhǎng)安

這篇文章主要為大家介紹了Spring Boot之內(nèi)嵌tomcat版本升級(jí)操作示例，有需要的朋友可以借鑒參考下，希望能夠有所幫助，祝大家多多進(jìn)步，早日升職加薪

Spring Boot之如何升級(jí)內(nèi)嵌tomcat版本

1. 背景

根據(jù)信息安全運(yùn)營(yíng)團(tuán)隊(duì)發(fā)布的Tomcat-AJP協(xié)議漏洞風(fēng)險(xiǎn)預(yù)警，Tomcat的AJP協(xié)議存在高危漏洞（默認(rèn)8009端口）由于存在實(shí)現(xiàn)缺陷導(dǎo)致相關(guān)參數(shù)可控，攻擊者利用該漏洞可通過(guò)構(gòu)造特定參數(shù)，讀取服務(wù)器webapp 下的任意文件。若服務(wù)器端同時(shí)存在文件上傳功能，攻擊者可進(jìn)一步實(shí)現(xiàn)遠(yuǎn)程代碼的執(zhí)行。漏洞CVE編號(hào):CVE-2020-1938,此漏洞風(fēng)險(xiǎn)等級(jí)為高危。附件中為全行開(kāi)發(fā)、生產(chǎn)涉及的系統(tǒng)，請(qǐng)大家盡快確認(rèn)是否使用了AJP協(xié)議并按照臨時(shí)方案進(jìn)行修復(fù)。

修復(fù)方案如下：

1、未使用AJP協(xié)議方案：直接關(guān)閉AJP協(xié)議

（1）編輯 <CATALINA_BASE>/conf/server.xml，找到如下行（<CATALINA_BASE> 為 Tomcat 的工作目錄）：

<Connector port=“8009”protocol=“AJP/1.3” redirectPort=“8443” />

（2）將此行注釋掉（也可刪掉該行）：

<!—<Connectorport=“8009” protocol=“AJP/1.3”redirectPort=“8443” />—>

（3）保存后需重新啟動(dòng)，規(guī)則方可生效。

（4）重啟后執(zhí)行netstat -an|grep 8009 檢查8009端口已經(jīng)不在監(jiān)聽(tīng)狀態(tài)

2、使用AJP協(xié)議：建議將Tomcat立即升級(jí)到9.0.31、8.5.51或7.0.100版本進(jìn)行修復(fù)

雖然我們的產(chǎn)品使用內(nèi)嵌tomcat，只是使用其中的http協(xié)議，未用到AJP協(xié)議，且已將AJP協(xié)議關(guān)閉。但是鑒于客戶(hù)的安全意識(shí)很高，對(duì)此不認(rèn)同，強(qiáng)烈要求升級(jí)tomcat版本。于是開(kāi)始踩升級(jí)內(nèi)嵌tomcat的坑啦。

2. 過(guò)程

2.1 升級(jí)單模塊項(xiàng)目的tomcat版本

寫(xiě)了個(gè)demo測(cè)試內(nèi)嵌tomcat版本，很容易就升級(jí)了。在pom文件里寫(xiě)上tomcat想升級(jí)的版本，打包出來(lái)，依賴(lài)的就是tomcat對(duì)應(yīng)的版本了。

    <properties>
        <tomcat.version>8.5.51</tomcat.version>
    </properties>

但是這種升級(jí)需要pom里依賴(lài)父項(xiàng)目為org.springframework.boot，也就類(lèi)似于面向?qū)ο罄锏睦^承父類(lèi)，并重寫(xiě)父類(lèi)對(duì)應(yīng)的方法，這個(gè)意思你懂的吧？也就是說(shuō)pom里有如下類(lèi)似標(biāo)注，否則直接寫(xiě)tomcat版本升級(jí)是不升效的。

	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>2.0.8.RELEASE</version>
	</parent>

2.2 升級(jí)包含多個(gè)模塊的項(xiàng)目

升級(jí)多模塊的項(xiàng)目的tomcat版本，子模塊依賴(lài)tomcat，但是子模塊的父項(xiàng)目不可能是org.springframework.boot，而是項(xiàng)目對(duì)應(yīng)的父模塊，此時(shí)第一種方法就不見(jiàn)效了。那我們粗暴的，先將tomcat依賴(lài)剔除，再引入對(duì)應(yīng)版本的tomcat版本不就行了嘛。因?yàn)閠omcat相關(guān)的依賴(lài)再spring-boot-starter-web依賴(lài)模塊下面，所以先將它內(nèi)部包含的tomcat依賴(lài)剔除，再引入對(duì)應(yīng)的tomcat版本，具體如下：

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>org.springframework.boot</groupId>
                    <artifactId>spring-boot-starter-tomcat</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-core</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-el</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-websocket</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat</groupId>
                    <artifactId>tomcat-annotations-api</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-core</artifactId>
            <version>${tomcat.version}</version>
            <exclusions>
                <exclusion>
                    <groupId>org.apache.tomcat</groupId>
                    <artifactId>tomcat-annotations-api</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat</groupId>
            <artifactId>tomcat-annotations-api</artifactId>
            <version>${tomcat.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-el</artifactId>
            <version>${tomcat.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-websocket</artifactId>
            <version>${tomcat.version}</version>
            <exclusions>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-core</artifactId>
                </exclusion>
            </exclusions>
        </dependency>