com.fasterxml.jackson.core:jackson-databind脆弱性2.9.10.3以前の問題分析

2409 ワード

1.脆弱性の説明最近、github上のプロジェクトの自己検査中にjackson-databind 2が発見された.9.10.3以前の脆弱性の高い脆弱性:
.FasterXML jackson-databind 2.0.0 2.9.10.2    xbean-reflect / JNDI  , org.apache.xbean.propertyeditor.JndiConverter  。
.2.9.10.2   FasterXML jackson-databind 2.x    net.sf.ehcache  。

ミドルホール:
 a.2.9.10.4   FasterXML jackson-databind 2.x       javax.swing.JEditorPane                 。
b., org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig(       hikari-config)   2.9.10.4   FasterXML jackson-databind 2.x                    。
c.2.9.10.4   FasterXML jackson-databind 2.x   org.apache.commons.jelly.impl.Embedded(aka commons-jelly)                 。
d..2.9.10.4   FasterXML jackson-databind 2.x       org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory(aka aries.transaction.jms)                 。

解決策:アリmavenを使っているのでパッチがありません.自分で探す
 com.fasterxml.jackson.core:jackson-databind    2.9.10.4       。  :

<      >
  < groupId > com.fasterxml.jackson.core </ groupId >
  < artifactId > jackson-databind </ artifactId >
  <    > [2.9.10.4,)</    >
</    >