So lösen Sie das Problem der Angabe der Jackson-Version beim SpringBoot-Upgrade

【Hinweis zur Sicherheitslücke】

Am 19. Februar gab NVD einen Sicherheitshinweis heraus, in dem die Sicherheitslücke bezüglich Remotecodeausführung (CVE-2020-8840) in jackson-databind durch JNDI-Injection mit einem CVSS-Score von 9,8 offengelegt wurde. Der betroffenen Version von jackson-databind fehlen bestimmte xbean-reflect/JNDI-Blacklist-Klassen, wie z. B. org.apache.xbean.propertyeditor.JndiConverter, was dazu führen kann, dass Angreifer JNDI-Injection verwenden, um eine Remotecodeausführung zu erreichen. Derzeit hat der Hersteller eine neue Version veröffentlicht, um die Schwachstellenbehebung abzuschließen.
Relevante Benutzer werden gebeten, zum Schutz rechtzeitig ein Upgrade durchzuführen.


Da die im Projekt verwendete Springboot-Version 2.1.3 ist und die integrierte Jackson-Version 2.9.8 ist, was niedriger ist als die sichere Version

2.9.10.6, muss die Jackson-Version aktualisiert werden.

Ändern Sie die Jackson-Version in Springboot.

Fügen Sie das Attribut jackson.version unter dem Eigenschaften-Tag im POM des Projekts hinzu

Das obige ist der detaillierte Inhalt vonSo lösen Sie das Problem der Angabe der Jackson-Version beim SpringBoot-Upgrade. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!