修复ruoyi若以springBoot分离版SnakeYAML资源管理错误高危漏洞

我们使用的是ruoyi前后端分离版springBoot框架

通过软件成分分析检测发现SnakeYAML存在资源管理错误高危漏洞

框架里集成的是SnakeYAML2.8版本的

漏洞描述：

1.SnakeYAML是一款基于Java的YAML解析器。 SnakeYaml存在安全漏洞，该漏洞源于其

Constructor()类不限制可以在反序列化期间导致攻击者提供恶意yaml内容可以实现远程代码执行。

2.SnakeYAML是一款基于Java的YAML解析器。 SnakeYAML 1.31及之前版本存在安全漏洞，该漏洞源于缺少对集合的嵌套深度限制，存在拒绝服务（DoS）问题。

3.SnakeYAML是一款基于Java的YAML解析器。 SnakeYAML 存在缓冲区错误漏洞，该漏洞源于解析不受信任的 YAML 文件可能容易受到拒绝服务攻击(DOS)。 如果解析器在用户提供的输入上运行，攻击者通过特制内容导致解析器因堆栈溢出而崩溃。

修复建议：

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主

页或参考网址以获取解决办法：

https://bitbucket.org/snakeyaml/snakeyaml/issues/525/gotstackoverflowerror-for-many-open

以上为官方的一个漏洞描述和解决版本，世界解决不需要这么复杂，我们直接上干货

首先找到springframework的pom，然后在spring-boot-starter-web下排除掉snakeyaml依赖

然后接在在下面直接引入最新版本的snakeyaml 我这里引入的是1.33的

<!-- SpringBoot Web容器 -->
         <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <!-- 其他配置 -->
            <exclusions>
              <exclusion>
                 <groupId>org.yaml</groupId>
                 <artifactId>snakeyaml</artifactId>
              </exclusion>
                <exclusion>
                    <groupId>org.springframework.boot</groupId>
                    <artifactId>spring-boot-starter-data-yaml</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        
         <dependency>
            <groupId>org.yaml</groupId>
            <artifactId>snakeyaml</artifactId>
            <version>1.33</version>
            <scope>compile</scope>
        </dependency>

这时你用maven重新打包后 然后解压jar包在

路径\BOOT-INF\lib下会发现还是有snakeyaml1.28的成分在里面

经过排查原来是在别的地方没有覆盖掉

然后我们要找到项目根目录下的pom

还有ruoyi-admin下的pom

找到里面引入的 ruoyi-framework 。重复上面的步骤分别排包，并重新引入snakeyaml1.33

最后打包jar包解压后可以看到版本更新为snakeyaml-1.33.jar了