com.fasterxml.jackson.core:jackson-databind脆弱性2.9.10.3以前の問題分析

2409 ワード

java

1.脆弱性の説明最近、github上のプロジェクトの自己検査中にjackson-databind 2が発見された.9.10.3以前の脆弱性の高い脆弱性:

.FasterXML jackson-databind 2.0.0 2.9.10.2    xbean-reflect / JNDI  ， org.apache.xbean.propertyeditor.JndiConverter  。

.2.9.10.2   FasterXML jackson-databind 2.x    net.sf.ehcache  。

ミドルホール:

 a.2.9.10.4   FasterXML jackson-databind 2.x       javax.swing.JEditorPane                 。

b., org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig（       hikari-config）   2.9.10.4   FasterXML jackson-databind 2.x                    。

c.2.9.10.4   FasterXML jackson-databind 2.x   org.apache.commons.jelly.impl.Embedded（aka commons-jelly）                 。

d..2.9.10.4   FasterXML jackson-databind 2.x       org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory（aka aries.transaction.jms）                 。

解決策:アリmavenを使っているのでパッチがありません.自分で探す

 com.fasterxml.jackson.core：jackson-databind    2.9.10.4       。  ：

<      >
  < groupId > com.fasterxml.jackson.core </ groupId >
  < artifactId > jackson-databind </ artifactId >
  <    > [2.9.10.4，）</    >
</    >

アンカーの失効問題.

爬虫類-需要:豆弁映画に動的に追加された映画の詳細データを取得する