Jackson-databind的安全漏洞
今天公司发出了修复jackson-databind的安全漏洞分析,让公司统⼀修复,以下是过程:
⼀、基本描述
在2.9.9之前的FasterXML jackson-databind 2.x中发现了⼀个问题。为外部公开的JSON端点启⽤默认键⼊(全局或特定属性)时,该服务在类路径中具有mysql-connector-java jar(8.0.14或更早版本),并且攻击者可以托管精⼼设计的
spring framework框架漏洞
MySQL服务器可以访问服务器,攻击者可以发送精⼼设计的JSON消息,允许他们读取服务器上的任意本地⽂件。这是因为缺少sql.cj.jdbc.admin.MiniAdmin验证。
⼆、修复过程
1、全盘查询项⽬中是否⽤到此jar⽂件,升级到2.9.9.1
三、遇到的问题
引⼊的maven⽂件中可能会包含这个jar⽂件,⽐如:logback⽂件中就引⼊的词jar⽂件。
本来想着是升级logback版本,对应的jackson-databind也会跟着升级,但是,想错了,并⾮如此。
⽬前解决⽅案是:直接引⼊此jar⽂件,覆盖其它版本即可。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。