Heim  >  Artikel  >  Java  >  So lösen Sie das Problem der Angabe der Jackson-Version beim SpringBoot-Upgrade

So lösen Sie das Problem der Angabe der Jackson-Version beim SpringBoot-Upgrade

王林
王林nach vorne
2023-05-12 14:13:352504Durchsuche

【Hinweis zur Sicherheitslücke】

Am 19. Februar gab NVD einen Sicherheitshinweis heraus, in dem die Sicherheitslücke bezüglich Remotecodeausführung (CVE-2020-8840) in jackson-databind durch JNDI-Injection mit einem CVSS-Score von 9,8 offengelegt wurde. Der betroffenen Version von jackson-databind fehlen bestimmte xbean-reflect/JNDI-Blacklist-Klassen, wie z. B. org.apache.xbean.propertyeditor.JndiConverter, was dazu führen kann, dass Angreifer JNDI-Injection verwenden, um eine Remotecodeausführung zu erreichen. Derzeit hat der Hersteller eine neue Version veröffentlicht, um die Schwachstellenbehebung abzuschließen.
Relevante Benutzer werden gebeten, zum Schutz rechtzeitig ein Upgrade durchzuführen.


Da die im Projekt verwendete Springboot-Version 2.1.3 ist und die integrierte Jackson-Version 2.9.8 ist, was niedriger ist als die sichere Version

2.9.10.6, muss die Jackson-Version aktualisiert werden.

Ändern Sie die Jackson-Version in Springboot.

Fügen Sie das Attribut jackson.version unter dem Eigenschaften-Tag im POM des Projekts hinzu

Das obige ist der detaillierte Inhalt vonSo lösen Sie das Problem der Angabe der Jackson-Version beim SpringBoot-Upgrade. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Dieser Artikel ist reproduziert unter:yisu.com. Bei Verstößen wenden Sie sich bitte an admin@php.cn löschen