1. 漏洞描述
近日,在github上的项目自检过程中发现jackson-databind2.9.10.3版本以前的漏洞
高危漏洞:
.FasterXML jackson-databind 2.0.0到2.9.10.2缺少某些xbean-reflect / JNDI阻止,如org.apache.xbean.propertyeditor.JndiConverter所示。
.2.9.10.2之前的FasterXML jackson-databind 2.x缺少某些net.sf.ehcache阻止。
中度漏洞:
a.2.9.10.4之前的FasterXML jackson-databind 2.x错误地处理了与javax.swing.JEditorPane有关的序列化小工具和键入之间的交互。
b.,与org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig(也称为带阴影的hikari-config)相关的2.9.10.4之前的FasterXML jackson-databind 2.x错误地处理了序列化小工具和键入之间的交互。
c.2.9.10.4之前的FasterXML jackson-databind 2.x处理与org.apache.commons.jelly.impl.Embedded(aka commons-jelly)相关的序列化小工具和键入之间的交互。
d..2.9.10.4之前的FasterXML jackson-databind 2.x错误地处理了与org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory(aka aries.transaction.jms)相关的序列化小工具和键入之间的交互。
解决方案:
因为用的阿里maven没有补丁。自己找
将com.fasterxml.jackson.core:jackson-databind升级 到2.9.10.4版 或更高版本。例如:
< 依存关系 >
< groupId > com.fasterxml.jackson.core </ groupId >
< artifactId > jackson-databind </ artifactId >
< 版本 > [2.9.10.4,)</ 版本 >
</ 依赖 >