security - jackson-databind-2.9.8 jar 的 OWASP 安全问题
问题描述
我有一个在 Java 8(tomcat 8.5.5)中运行并使用“jackson-databind-2.9.8.jar”的 Maven Web 项目(RESTful,Spring Rest/data)。当依赖检查工具(检查易受攻击的 jar 版本并生成报告)针对项目正在使用的库运行时,它显示“jackson-databind-2.9.8.jar”为易受攻击(参考- https://nvd.nist。 gov/vuln/search/results?form_type=Advanced&results_type=overview&search_type=all&cpe_vendor=cpe%3A%2F%3Afasterxml&cpe_product=cpe%3A%2F%3Afasterxml%3Ajackson-databind&cpe_version=cpe%3A%2F%3Afasterxml%3Ajackson-databind%3A2。 9.8 )
问题:-更改为“jackson-databind-2.10.0.jar”版本修复了 OWASP 安全问题(运行依赖检查工具)但是,当项目构建并运行时,它会抛出错误,因为 2.10.0 使用 jdk9+ 投诉类(参考- https ://github.com/FasterXML/jackson/wiki/Jackson-Release-2.10)
应该怎么做才能解决这个问题,我们可以让项目在 Java 8 中编译并在 JDK11 中运行(因为 JDK9 不支持)还是应该做其他事情?请建议。提前致谢!
解决方案
CVE-2019-12086 已修复在jackson-databind-2.9.9.jar.
见报告:https ://nvd.nist.gov/vuln/detail/CVE-2019-12086
2.9.9 的 Maven 存储库:https ://mvnrepository.com/artifact/com.fasterxml.jackson.core/jackson-databind/2.9.9
推荐阅读
- node.js - 如何在 nodejs 中设置 websocket 以将 console.logs 发送到浏览器
- floating-point - 是否应该将低于机器精度的矩阵条目切为零?
- api - Azure Key Vault Rest API 获取密钥 401
- jpa - Spring JPA - 链接 2 个没有父子关系的表
- python - 我怎么知道 Keras 正在优化我的自定义损失函数中的正确值?
- python - 你如何在记事本中执行 .py 文件?
- r - 向 paste0 中的数据框添加新列
- php - 从 PHP 类访问 HTML div id
- android - 在android中创建数据库时处理“IllegalStateException:数据库已关闭”的正确方法是什么
- javascript - Mozilla 开发者网络上方法参数的 Javascript 语法规范