com.fasterxml.jackson.core:jackson-databind脆弱性2.9.10.3以前の問題分析
2409 ワード
1.脆弱性の説明最近、github上のプロジェクトの自己検査中にjackson-databind 2が発見された.9.10.3以前の脆弱性の高い脆弱性:
ミドルホール:
解決策:アリmavenを使っているのでパッチがありません.自分で探す
.FasterXML jackson-databind 2.0.0 2.9.10.2 xbean-reflect / JNDI , org.apache.xbean.propertyeditor.JndiConverter 。
.2.9.10.2 FasterXML jackson-databind 2.x net.sf.ehcache 。
ミドルホール:
a.2.9.10.4 FasterXML jackson-databind 2.x javax.swing.JEditorPane 。
b., org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig( hikari-config) 2.9.10.4 FasterXML jackson-databind 2.x 。
c.2.9.10.4 FasterXML jackson-databind 2.x org.apache.commons.jelly.impl.Embedded(aka commons-jelly) 。
d..2.9.10.4 FasterXML jackson-databind 2.x org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory(aka aries.transaction.jms) 。
解決策:アリmavenを使っているのでパッチがありません.自分で探す
com.fasterxml.jackson.core:jackson-databind 2.9.10.4 。 :
< >
< groupId > com.fasterxml.jackson.core </ groupId >
< artifactId > jackson-databind </ artifactId >
< > [2.9.10.4,)</ >
</ >