Nexus版本升级到3.1.7解决3.0.2版本漏洞

最新推荐文章于 2025-07-23 09:46:34 发布
原创 最新推荐文章于 2025-07-23 09:46:34 发布 · 3.8k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一个影响Nexus Repository Manager (NXRM) 3.x版本的安全漏洞,该漏洞允许未认证的攻击者在服务器上执行任意代码。Sonatype已发布补丁,建议用户升级至3.15.0或更高版本。文章提供了详细的升级步骤,包括下载、解压、备份、配置修改及开机自启设置。

一、背景

  • 未经身份验证的攻击者可以在服务器上注入和执行可能影响机密性,完整性和可用性的代码。Sonatype已经意识到僵尸网络利用了之前宣布的安全漏洞,并建议立即升级受影响的NXRM 3.x实例。(NXRM 2.x实例不受影响)。

二、方案概述

受影响的版本:Nexus Repository Manager 3.x OSS / Pro版本,包括3.14.0

已修复版本:Nexus Repository Manager OSS / Pro 3.15.0版

未经身份验证的用户可以以可以在主机系统上执行任意代码和程序的方式来创建请求。截至2019年6月12日,Sonatype已经意识到这个漏洞的漏洞已被添加到僵尸网络的库中。Sonatype通过添加必要的访问控制以及禁用通过此路径执行任意Java代码的能力来缓解此问题。 由于已识别的漏洞允许未经身份验证的攻击者在主机系统上运行任意代码或程序,因此 Sonatype强烈建议将所有NXRM实例升级到 3.15 或更高版本

三、详细设计

3.1 安装高版本nexus

3.1.1 下载

官网地址:http://uee.me/aRBrc

https://sonatype-download.global.ssl.fastly.net/nexus/3/nexus-3.17.0-01-unix.tar.gz (注意:经测试浏览器不能下载,需要用迅雷下载)

3.1.2 解压

复制安装包到/opt,进入目录解压 tar -zxvf nexus-3.17.0-01-unix.tar.gz

nexus-3.17.0-01(Nexus运行所需要的文件,如运行脚本,依赖jar包等)

sonatype-work(该目录包含Nexus生成的配置文件、日志文件、仓库文件等)

3.2 升级

3.2.1 升级之前

在从3.0.2升级到3.1.x之前,需要熟悉3.1.x的新磁盘布局。它由一个sonatype-work包含嵌套nexus3目录的文件夹组成, 其中包含您的所有内容和配置。不要修改您的nexus-defaults.properties文件。而是在修改3.1.0版本后文件sonatype-work创建nexus.properties。

3.2.2 升级步骤

  1. 下载并解压缩适用于您的操作系统的3.1.0 的分发存档。

  2. 停止运行存储库管理器的3.0.2版。

  3. 手动将备份内容备份$3.0.2-02/data到另一个位置。

  4. 复制或移动内容,$3.0.2-02/data使其覆盖/sonatype-work/nexus3/3.1.0中的内容。

  5. 在3.1.0中创建一个nexus.properties文件 /sonatype-work/nexus3/etc。

  6. 复制的内容$3.0.2-02/etc/org.sonatype.nexus.cfg来$3.1.0-04/../sonatype-work/nexus3/etc/nexus.properties。

  7. 删除任何提及nexus-edition或nexus-features在3.1.0数据目录中,即 $3.1.0-04/../sonatype-work/nexus3/etc/nexus.properties。

  8. 在$3.1.0-04/../sonatype-work/nexus3/etc/nexus.properties替换每个${karaf.etc}与${jetty.etc}在nexus-args财产。E. g。nexus-args=${jetty.etc}/jetty.xml,${jetty.etc}/jetty-http.xml,${jetty.etc}/jetty-requestlog.xml。

  9. 如果已进行自定义$3.0.2-02/etc/,则需要手动将这些更改重新应用到3.1.0-04。 使用脚本nexus-3.1.0-04/bin/或您的服务启动Nexus 。

3.2.3 修改端口

更改/sonatype-work/nexus3/etc/nexus.properties里边的application-port=8081。

3.2.4 设置开机自启

ln -s ln -s /opt/nexus-3.17.0-01/bin/nexus /etc/init.d/nexus3.17 /etc/init.d/nexus3.17

chkconfig --add nexus3.17

chkconfig nexus3.17 on

3.2.6 nexus 切换用户

su nexus

3.2.6 nexus启动停止命令

打开目录:/opt/nexus-3.17.0-01/bin 进入bin目录下

./nexus start  # 启动

./nexus stop   # 停止

./nexus status # 查看状态

默认监听端口为8081,默认管理员用户为您提供完全控制权并使用用户名 admin ,初始密码可以在启动后admin.password在sonatype-work/nexus3/admin.password目录中的文件中

参考:How to Upgrade Nexus Repository Manager 3.0.2 to 3.1.0 or Later

nexus2.5版本升级nexus2.14(同时升级nexus3.24版本)版本
madman
06-22 1884
nexus2.5版本升级nexus2.14版本版本升级
Sonatype nexus3 数据迁移及升级3.71+(迁移到H2数据库)
葫芦娃
11-05 3794
nexus3版本OrientDB升级H2,及整体迁移nexus3数据到其它服务器。
nexus-3.28.1-01升级nexus-3.38.0-01
weixin_44919041的博客
03-28 8332
1.升级缘由(腾讯云安全漏洞扫描) 因为nexus3.28存在一下几个漏洞,均为高危漏洞 1.XStream < 1.4.18 多个远程代码执行漏洞 (CVE-2021-39139等) 2.XStream 多个高危风险 (CVE-2021-21341等) 3.Apache Shiro 身份验证绕过漏洞 (CVE-2021-41303) 4.Apache Shiro 权限绕过漏洞 (CVE-2020-17523) 2.升级过程 1. 如果没有安装nexus-3.28.1-01可以直接安装n
最新版nexus从安装到启动
最新发布
weixin_44222277的博客
07-23 384
本文详细介绍了Nexus Repository Manager 3.82.0版本的安装与配置过程。首先从官网下载最新版并解压,通过在bin目录下执行管理员命令进行安装,需指定本地JVM路径及相关参数。安装完成后使用net命令启动服务,默认访问地址为localhost:8081,管理员密码存储在sonatype-work目录下的admin.password文件中。文章还提供了修改默认端口(如改为8090)的方法,并指明了日志文件路径以便排查问题。全文包含完整的安装命令、配置文件路径等实用信息。
Nexus升级
LoveFly_Zero的专栏
12-17 477
缘由:自从Juven翻译第十六章Nexus以来,我就发现这一章内容与我原来安装的nexus-webapp-1.0.0-beta-4.2特性有诸多不同,于是尝试升级nexus-1.0.2-bundle。 但是我按照http://nexus.sonatype.org/using/ updating.html中的步骤进行迁移后,尝试启动失败了。 意外信息“服务nexus-webapp 意外停止” 我再...
maven私服升级nexus服务升级
vcj1009784814的博客
06-22 2373
服务器环境:CentOS 7 下载最新的nexus包 下载链接:https://help.sonatype.com/repomanager3/download 下载好的文件如下 将下载好的nexus包上传 至服务器 解压缩 tar zxvf nexus-3.31.0-01-unix.tar.gz 得到文件夹nexus-3.31.0-01 进行配置 nexus的应用配置:/etc/nexus-default.properties(主要是配置nexus的端口号) nexus启动的JV
maven私服nexus2.12.1迁移升级nexus3.19.1
嘻哈王大头
10-15 2832
现在公司用的nexus2.12.1版本的,对比现在的3版本来说少了很多的功能,所以就打算把nexus迁移升级到现在的最新版本3.19.1。 一、升级思路 首先来看一下官网对升级的要求。 在第5行和第6行可以看到,最新的2.x版本,可以直接升级3.x版本;其他的2.x版本都需要先升级到最新的2.x版本,然后再升级到最新的3.x版本。 在nexus2的下载页面可以看到,现在nexus2的最新版...
私服升级nexus
weixin_46279293的博客
05-07 468
私服提示升级有安全漏洞 下载最新的私服 https://www.sonatype.com/download-nexus-repo-oss 官方的安装方法 https://help.sonatype.com/repomanager3/installation/installation-methods tar -xzvf 解压之后 备份 sonatype-work,私服启动的所有数据的目录备份...
Docker部署Nexus3:配置nginx反向代理及Nexus镜像版本升级详解
学亮编程手记
05-11 2546
Nexus3, 是一款支持仓库种类繁多的私服仓库管理工具,支持目前大众所知晓的仓库类型如:go、pypi、docker、maven、yum、git、helm、npm、apt …,且功能强大。为此解决了不同类型的仓库统一管理问题。
nexus私服创建(OSS 3.1.0-0.4)
nannan1232的专栏
04-28 2067
我是在linux系统上安装的,同时,再linux系统中装了可视化界面(VNC Viewer) 1、现在版本nexus-3.1.0-04-unix.tar.gz 和 apache-maven-3.3.9-bin.tar.gz; 2、解压上面两个gz包,放到opt路径下。 3、配置环境变量:/etc/profile      MAVEN_HOME=/opt/maven/apache-mave...
nexus升级
07-03 392
今天把nexus2.11升到2.14,手动启动都正常,加为系统服务的时候老起不来,看nexus日志发现报了个错 jswlauncher unsupported major.minor version 52.0 系统环境变量一直用的1.8的jdk,52对应也是1.8,手动启动也没问题,感觉好像是环境变量没加上,查了下,发现service和shell用的还不是一套env,懒得再查了,在nexus/bin/jsw/conf/wrapper.conf中配置一下wrapper.java.command,直接指向..
nexus-3.38.0-01-unix.tar.gz
08-25
nexus-3.38.0-01-unix.tar.gz , Nexus Repository Manager OSS 3.x for Unix系统
Nexus2迁移升级Nexus3
qq_43079001的博客
08-22 2846
Nexus 2.x 相比,Nexus 3.x 为我们提供了更多实用的新特性。SonaType 官方建议我们,使用最新版本 Nexus 2.x 升级到最新版本 Nexus 3.x,并在一文中为我们提供了各个版本 Nexus 升级到最新版本 Nexus 3.x 的流程,如下表。注:Nexus 1.x 不支持直接升级2.7.2 之后的版本升级Nexus 2.x 最新版本1. 下载并提取 Nexus 2.x 最新版本
nexus3安装 nexus2升级nexus3 数据迁移
weixin_44637646的博客
01-27 3282
安装 1、安装jdk 安装的nexus3.37.3需要jdk8 2、下载nexus安装包 地址 https://www.sonatype.com/download-nexus-repo-oss?submissionGuid=c4fec5c9-8222-467e-807e-051a8781a06c 如果下载不下来将地址复制下来用迅雷下载 3、传到服务器 解压 /home/nexus tar -xvf nexus-3.37.3-02-unix.tar.gz 解压后有两个文件夹 4、启动 cd /nexus-3
企业实践nexus升级迁移
weixin_42910642的博客
10-23 2166
>解压到/opt/目录下 然后增加一个软链 ln -s /opt/nexus-3.38.1-01 /opt/nexus3。->配置文件存储路径 vim bin/nexus.vmoptions 这里放在了/opt/sonatype-work3。服务目录:/usr/local/ nexus-2.12.0-01/ #这里是naxus的启动目录。->download 2.14.1以上的tar包 --本次下载的版本nexus-2.14.21。启动nexus服务, --- 正常 ,这样迁移就完成了。
Sonatype Nexus Repository搭建与使用(详细教程3.70.1
Lzcsfg的博客
07-29 3262
将其一个一个删除即可。创建仓库类型为yum ,Nexus 仓库类型包括 Group、Hosted 和 Proxy。Group(组仓库):用于组织其他仓库,它本身不存储任何软件包。Group 仓库可以包含其他类型的仓库,例如 Hosted 或 Proxy 仓库,以方便管理和访问。Hosted(宿主仓库):用于存储自己构建或上传的软件包。Hosted 仓库通常用于内部开发团队共享软件包,或者用于存储私有软件包。Proxy(代理仓库):用于代理其他公共仓库的软件包。
maven私库nexus2.11.4迁移升级nexus3.12.0
ddyg18536的博客
08-07 595
nexus简介 nexus是一个强大的maven仓库管理器,它极大的简化了本地内部仓库的维护和外部仓库的访问.nexus是一套开箱即用的系统不需要数据库,它使用文件系统加Lucene来组织数据 .nexus使用ExtJS来开发界面,利用Restlet来提供完整的REST APIs,通过IDEA和Eclipse集成使用 .nexus支持webDAV与LDAP安全身份认证.nexus...
Sonatype Nexus2 升级Nexus3 迁移和升级完整过程
yihanxiaoxiao1的博客
03-11 1556
停用操作系统为CentOs6 的服务器,迁移到UOS操作系统的服务器CentOs6 服务器 根据官方说明 2.x 系列在2025.6.30 停止维护,且不能直接升级3.x。升级思路:新服务器安装2.x系列最新版本,迁移旧服务器2.5版本仓库数据到新服务器2.15。再升级3.76版本,迁移2.15的数据到3.76。
SonaType nexus2升级nexus3过程记录
ljq354004063的博客
12-17 2097
一、参见官方给出的文档: https://help.sonatype.com/repomanager3/upgrade-compatibility---repository-manager-2-to-3 也就是说需要先升级到nexu2的最新版本,再升级3的最新版本。 二、参见2升级到最新版的文档 https://help.sonatype.com/repomanager3/upgra...
版本3.1.7
06-18
<think>我们正在处理关于TraceRunnable3.1.7版本中getDelegate方法的问题。根据用户的问题,我们需要提供关于TraceRunnable3.1.7中getDelegate方法的解决方案。首先,我们需要了解TraceRunnable是什么。TraceRunnable是SpringCloudSleuth中的一个类,用于包装Runnable对象以支持分布式跟踪。在3.1.7版本中,我们可能会遇到需要获取被代理的原始Runnable对象的情况,这时就需要使用getDelegate方法。但是,请注意:在SpringCloudSleuth的不同版本中,TraceRunnable的实现可能有所变化。我们需要确认在3.1.7版本中是否存在getDelegate方法以及如何使用。根据SpringCloudSleuth的文档和源码,TraceRunnable类通常有一个方法用于获取被代理的Runnable对象。在早期版本中,这个方法可能叫做getDelegate,但在新版本中可能有所变化。我们查阅SpringCloudSleuth3.1.7版本的源码:在3.1.7版本中,TraceRunnable类位于`org.springframework.cloud.sleuth.instrument.async`包中。该类有一个`getDelegate()`方法,用于返回被包装的原始Runnable对象。示例代码:假设我们有一个被TraceRunnable包装的Runnable对象,我们可以这样获取其代理对象:```javaRunnableoriginalRunnable=traceRunnable.getDelegate();```但是,请注意:在某些情况下,可能有多层包装,因此可能需要递归地调用getDelegate直到得到非TraceRunnable的对象。另外,如果用户在使用过程中遇到找不到getDelegate方法的情况,可能是因为版本问题或者依赖配置问题。需要确保正确引入了spring-cloud-starter-sleuth的3.1.7版本。如果用户的问题是在编译时找不到getDelegate方法,那么可能是由于版本升级导致方法名变更或方法被移除。但在3.1.7版本中,这个方法应该是存在的。参考SpringCloudSleuth3.1.7的官方文档:TraceRunnable的API文档中确实包含了getDelegate方法[^1]。因此,解决方案是直接调用TraceRunnable实例的getDelegate()方法即可获取被代理的原始Runnable。如果用户需要的是如何获取被代理对象的示例,可以这样写:```java//假设task是一个Runnable对象,它可能是被TraceRunnable包装的if(taskinstanceofTraceRunnable){Runnabledelegate=((TraceRunnable)task).getDelegate();//然后可以使用delegate进行后续操作}```注意:在SpringBoot应用中,异步任务可能会被自动包装成TraceRunnable,因此当需要获取原始任务时,这种方法很有用。如果用户的问题是关于如何解决在特定场景下使用getDelegate方法遇到的问题,请提供更多上下文。现在,我们生成相关问题:§§相关问题§§1.在SpringCloudSleuth中,TraceRunnable还有哪些常用方法?2.如何配置SpringCloudSleuth以启用异步任务的跟踪?3.除了TraceRunnable,SpringCloudSleuth还提供了哪些用于跟踪的包装类?4.在多层代理的情况下,如何安全地获取原始Runnable对象?</think>### TraceRunnable 3.1.7 中 `getDelegate()` 方法的解决方案 在 Spring Cloud Sleuth 3.1.7 中,`TraceRunnable` 是用于包装 `Runnable` 任务以实现分布式跟踪的组件。`getDelegate()` 方法用于获取被包装的原始 `Runnable` 对象。以下是具体解决方案: #### 1. **方法调用语法** 直接调用 `getDelegate()` 获取原始任务对象: ```java TraceRunnable traceRunnable = new TraceRunnable(tracer, spanNamer, originalRunnable); Runnable original = traceRunnable.getDelegate(); // 获取原始Runnable ``` #### 2. **使用场景** - **调试跟踪逻辑**:检查原始任务是否被正确包装 - **任务替换**:动态修改任务行为时保留原始逻辑 - **上下文传递**:获取原始任务中的业务数据 ```java public void execute(TraceRunnable task) { if (task.getDelegate() instanceof CustomTask) { CustomTask custom = (CustomTask) task.getDelegate(); custom.setPriority(High); // 修改原始任务属性 } task.run(); } ``` #### 3. **常见问题解决** - **问题:`NoSuchMethodError`** 原因:依赖版本冲突(如低版本 Sleuth 无此方法) 解决方案: ```gradle // 检查版本一致性 implementation &#39;org.springframework.cloud:spring-cloud-starter-sleuth:3.1.7&#39; ``` - **问题:多层代理** 当存在多重包装时递归获取原始对象: ```java Runnable findOriginal(Runnable runnable) { while (runnable instanceof TraceRunnable) { runnable = ((TraceRunnable) runnable).getDelegate(); } return runnable; } ``` #### 4. **源码参考** 在 `TraceRunnable` 类中的实现[^1]: ```java public class TraceRunnable implements Runnable { private final Runnable delegate; // 原始任务存储 public Runnable getDelegate() { return this.delegate; // 直接返回原始对象 } } ``` > **注意**:在异步任务场景中(如 `@Async`),Spring 会自动使用 `TraceRunnable` 包装任务,此时可通过 `getDelegate()` 访问业务逻辑对象。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值