2.5.1 release版本如何单独升级springboot

Blade 未结

关注举报

 1  987

122465809 剑圣 2020-09-20 13:31

悬赏：5

一、该问题的重现步骤是什么？

收到通知

【紧急/高危】接国资委通知，需强制修复以下漏洞：
Spring 框架 RFD（反射型文件下载）漏洞（CVE-2020-5421）
影响范围：
Spring Framework 5.2.0 - 5.2.8
Spring Framework 5.1.0 - 5.1.17
Spring Framework 5.0.0 - 5.0.18
Spring Framework 4.3.0 - 4.3.28
低于以>4.3.0以下历史老版本及官方不提供更新的老版本均需升级到官网最新版本！
漏洞影响：在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中，针对CVE-2015的 RFD攻击的防护根据使用jsessionid路径参数使用的浏览器，可以绕过-5211（国家漏洞平台：http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201607-188：。攻击者可利用该漏洞实施反射文件下载攻击。）。
解决方案：目前厂商已发布更新版本，获取链接：https://github.com/spring-projects/spring-framework
注意：低于以>4.3.0以下的历史老版本均需升级到官网最新版本！

二、你期待的结果是什么？实际看到的又是什么？

我看了下我使用的2.5.1 release版本对应的springboot是2.1.12，需要升级到更新的2.1.17，请问如何升级，修改那个pom，我没看到框架中有这个pom

三、你正在使用的是什么产品，什么版本？在什么操作系统上？

2.5.1 release版本

四、请提供详细的错误堆栈信息，这很重要。

五、若有更多详细信息，请在下面提供。