1. 漏洞描述
近日,在github上的項目自檢過程中發現jackson-databind2.9.10.3版本以前的漏洞
高危漏洞:
.FasterXML jackson-databind 2.0.0到2.9.10.2缺少某些xbean-reflect / JNDI阻止,如org.apache.xbean.propertyeditor.JndiConverter所示。
.2.9.10.2之前的FasterXML jackson-databind 2.x缺少某些net.sf.ehcache阻止。
中度漏洞:
a.2.9.10.4之前的FasterXML jackson-databind 2.x錯誤地處理了與javax.swing.JEditorPane有關的序列化小工具和鍵入之間的交互。
b.,與org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig(也稱爲帶陰影的hikari-config)相關的2.9.10.4之前的FasterXML jackson-databind 2.x錯誤地處理了序列化小工具和鍵入之間的交互。
c.2.9.10.4之前的FasterXML jackson-databind 2.x處理與org.apache.commons.jelly.impl.Embedded(aka commons-jelly)相關的序列化小工具和鍵入之間的交互。
d..2.9.10.4之前的FasterXML jackson-databind 2.x錯誤地處理了與org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory(aka aries.transaction.jms)相關的序列化小工具和鍵入之間的交互。
解決方案:
因爲用的阿里maven沒有補丁。自己找
將com.fasterxml.jackson.core:jackson-databind升級 到2.9.10.4版 或更高版本。例如:
< 依存關係 >
< groupId > com.fasterxml.jackson.core </ groupId >
< artifactId > jackson-databind </ artifactId >
< 版本 > [2.9.10.4,)</ 版本 >
</ 依賴 >