Spring 3.2.3から3.2.14にアップグレード(スプリングXML入力によるサービス拒否の脆弱性に対応)


SPRING 3.2.xバージョンを使用している場合は、3.2.14にアップグレードする必要がありそうです。

3.2.3と3.2.14の間には、バグ/セキュリティパッチ以外に大きな修正事項はありませんでした。
各バージョンの配布告知のみ要約しました。全体の変更点は、こちらをご確認ください。

注意する点

#同一springモジュールが異なるバージョンで重複して使用される問題
pom.xmlをDependency Hierarchyモードで見ると、同一の内容がそれぞれ異なるバージョンに重複して含まれています。
ほとんどがLucyにdependencyがあるspringモジュールです。
Lucyなどで使用する別途宣言されていないモジュールがあれば、追加する必要があるでしょう。
Dependency Hierarchyモードでspringで検索して表示されるモジュールのバージョンを確認しながら、入念に除外するものは除き、追加するものは追加して、springの各モジュールがすべて3.2.14を使用するように作成しましょう。

変更点の要約

Spring 3.2.14(2015/6/30配布)

Spring 3.2.13(2014/12/31配布)

  • 特別な変更はありませんでした。
  • Spring 4.2のバージョンで新たに追加される機能について要約を中心にお知らせしています。

Spring 3.2.12(2014/11/11配布)

  • MVC resourceをSpringがハンドリングするときに発生するセキュリティ関連事項にアップデートがあったようです。
    – 特にResourceHttpRequestHandlerを使用する場合は、アップデートが必要だそうです。

#Spring 3.2.11(2014/9/4配布)

  • リリースノートがありませんでした。

#Spring 3.2.10(2014/7/16配布)

  • リリースノートがありませんでした。

Spring 3.2.9(2014/5/20配布)

  • すべてのfeatureを最終反映しました。以降、追加的なfeatureはないとのことです。
    – 重要なバグの修正プログラムはEOLまで公式サポートします。
  • JDK 8のfeatureを部分的にサポートするそうです。

Spring 3.2.8(2014/2/19配布)

  • XXE攻撃(XML解析プロセスを利用した攻撃)に対応するパッチが反映されました。

Spring 3.2.7(2014/1/29配布)

  • 重要なバグが修正されたそうです。
  • Spring 3.2.xの開発がメンテナンスモードに切り替わりました。
  • Spring 3.1.xのサポートが正式に終了しました。

Spring 3.2.6(2013/12/12配布)

  • Javaの設定とSpring Boot関連のイシューがfixされました。

Spring 3.2.5(2013/11/7配布)

  • 50余りのバグが修正されました。

Spring 3.2.4(2013/8/7配布)

  • Spring OXMのセキュリティパッチと一部のバグが修正されました。

Spring 3.2.3(2013/5/21配布)

  • JDK7以下のバージョンでコンパイルしたソースをOpenJDK 8 runtimeで実行できるようにサポートを開始しました。
    – ただし、JDK 8でコンパイルしたbytecodeはサポートしません。(Spring 4.0以降のバージョンでサポートされています。)

これらの情報が参考になれば幸いです。

TOAST Meetup 編集部

TOASTの技術ナレッジやお得なイベント情報を発信していきます
pagetop