java - 如何解决 sonatype-2017-0312 漏洞
问题描述
Sonatype Nexus IQ 服务器组件扫描表明 Jackson-Databind 版本 2.9.9 库存在漏洞问题,代码为 sonatype-2017-0312。
jackson-databind 容易受到远程代码执行 (RCE) 的攻击。BeanDeserializerFactory 类中的 createBeanDeserializer() 函数允许对不受信任的 Java 对象进行反序列化。远程攻击者可以通过上传恶意序列化对象来利用这一点,如果应用程序试图对其进行反序列化,则会导致 RCE。
我尝试使用 redhat 版本的 Jackson-databind 和 sonatype 推荐的不同类型,但最后我们现在面临使用 jackson-databind-2.9.8.redhat-00004.jar 并以两个漏洞 CVE-2019-结束12086 和 sonatype-2017-0312。
解决方案
作为一种解决方案,将preferred-json-mapper 的gson 设置为替代的json 实现提供者。
对于 Maven 依赖管理:
<dependency>
<groupId>com.google.code.gson</groupId>
<artifactId>gson</artifactId>
<version>2.8.5</version>
</dependency>
还有其他的:Jackson 库、Google-Gson 库、JSON-lib、Flexjson、json-io、genson、JSONiJ 库。
推荐阅读
- encoding - 如何从字符串中识别众所周知/常用的编码机制?
- openid-connect - 验证 OpenIdConnect 配置
- javascript - 导入 const 在 JavaScript 中不起作用
- javascript - React + Firestore - 双向分页(按特定顺序查询新文档)
- flutter - 如何使 CupertinoActivityIndicator 全白
- mysql - 在 SQL 上,我可以有一个基于多个参数计数的比率列吗?
- python - 无法将 Base64 缓冲区解码为 opencv2 帧
- android - 无效配置“sw٦٠٠dp-v13”
- c# - 添加
到变量中的字符串 - javascript - Typescript 中的 IntrinsicAttributes & TYPE 有没有更好的方法