SpringBoot修复Spring AMQP反序列化漏洞（CVE-2023-34050）

问题描述：

2023年10月 Spring官方披露 CVE-2023-34050 Spring AMQP反序列化漏洞漏洞。由于 SimpleMessageConverter 或 SerializerMessageConverter 默认未配置白名单，导致可以反序列化任意类。新版本中在未配置白名单的情况下则不允许反序列化任意类。

解决的建议：
1.spring-amqp版本低于2.4.17的用户应升级到2.4.17
2.spring-amqp是3.0.0至3.0.9版本的用户应升级至3.0.10

如果你的SpringBoot版本号等于1.x，只能升级springboot版本才能解决！！！

如果你的SpringBoot版本号等于1.x，只能升级springboot版本才能解决！！！

如果你的SpringBoot版本号等于1.x，只能升级springboot版本才能解决！！！

如果你的SpringBoot版本号大于1.x，请继续往下看！！！

如果你的SpringBoot版本号大于等于2.7.x，那你只需要将SpringBoot大版本升级到最新版本即可。如下图所示，官方2023年10月份已经更新了2.7及以上版本，这些版本已经修复了该漏洞。比如你的版本是2.7.16，只需要将SpringBoot的版本升级到2.7.17即可

那么大于1.x，低于2.7的版本要怎么修复呢，官方已经没有对这些低版本进行升级了，将SpringBoot从低版本直接升级到2.7或者以上代价又比较大，需要同步升级很多包，比如Springfox 升级要升级为Springdoc，会导致原来的Swagger文档不可用。下面我们就来聊一聊低版本如何修复该漏洞。

如果你引入的amqp的依赖如下所示

<dependency>
    <groupId>org.springframework.bootgroupId>
    <artifactId>spring-boot-starter-amqpartifactId>
dependency>

这种方式引入amq相关的jar包包括了spring-amqp和spring-rabbit，而且它们的版本是一致的，只有改变SpringBoot的大版本才能改变spring-amqp和spring-rabbit的版本，能看到这里，肯定是不想升级大版本的。我们只需要删除上面的依赖，分别引入spring-amqp和spring-rabbit两个jar包即可，如果你本身就是按照下面的方式分别引入依赖包的，那你只需要按照下面的方式指定版本即可。

        
        <dependency>
            <groupId>org.springframework.amqpgroupId>
            <artifactId>spring-amqpartifactId>
            <version>2.4.17version>
        dependency>
        <dependency>
            <groupId>org.springframework.amqpgroupId>
            <artifactId>spring-rabbitartifactId>
        dependency>

注意：上面我们只指定了spring-amqp的版本，将它升级为2.4.17，我们并没有改变spring-rabbit的版本，如果将它的版本同样设置为2.4.17，那么启动的时候会报spring 的版本冲突，导致无法成功启动项目，通过测试，只需要指定spring-amqp的版本即可，spring-rabbit的版本跟随SpringBoot的版本即可，不用单独指定。