1. 漏洞描述
近日,在github上的项目自检过程中发现jackson-databind2.9.10.3版本以前的漏洞
高危漏洞:

.FasterXML jackson-databind 2.0.02.9.10.2缺少某些xbean-reflect / JNDI阻止,如org.apache.xbean.propertyeditor.JndiConverter所示。
.2.9.10.2之前的FasterXML jackson-databind 2.x缺少某些net.sf.ehcache阻止。

中度漏洞:

 a.2.9.10.4之前的FasterXML jackson-databind 2.x错误地处理了与javax.swing.JEditorPane有关的序列化小工具和键入之间的交互。
b.,与org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig(也称为带阴影的hikari-config)相关的2.9.10.4之前的FasterXML jackson-databind 2.x错误地处理了序列化小工具和键入之间的交互。
c.2.9.10.4之前的FasterXML jackson-databind 2.x处理与org.apache.commons.jelly.impl.Embedded(aka commons-jelly)相关的序列化小工具和键入之间的交互。
d..2.9.10.4之前的FasterXML jackson-databind 2.x错误地处理了与org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory(aka aries.transaction.jms)相关的序列化小工具和键入之间的交互。

解决方案:
因为用的阿里maven没有补丁。自己找

将com.fasterxml.jackson.core:jackson-databind升级 到2.9.10.4版 或更高版本。例如:

< 依存关系 >
  < groupId > com.fasterxml.jackson.core </ groupId >
  < artifactId > jackson-databind </ artifactId >
  < 版本 > [2.9.10.4,)</ 版本 >
</ 依赖 >
Logo

旨在为数千万中国开发者提供一个无缝且高效的云端环境,以支持学习、使用和贡献开源项目。

更多推荐