Comment résoudre le problème de la spécification de la version Jackson dans la mise à niveau SpringBoot

【Avis de vulnérabilité】

Le 19 février, NVD a publié un avis de sécurité révélant la vulnérabilité d'exécution de code à distance
de jackson-databind causée par l'injection JNDI (CVE- 2020-8840), avec un score CVSS de 9,8. En raison de l'absence de
certaines classes de liste noire xbean-reflect/JNDI dans la version concernée de jackson-databind, telles que org.apache.xbean.propertyeditor.JndiConverter,
peut amener les attaquants à utiliser l'injection JNDI. Exécution de code à distance. À l'heure actuelle, le fabricant a publié une nouvelle version pour terminer la réparation de la vulnérabilité.
Veuillez mettre à niveau les utilisateurs concernés à temps pour la protection.

Étant donné que la version Springboot utilisée dans le projet est 2.1.3, la version Jackson intégrée est 2.9.8, ce qui est inférieur à la version sécurisée
2.9.10.6 , il doit donc être mis à niveau vers la version de Jackson.

Modifier la version jackson dans Springboot

Ajouter l'attribut jackson.version sous la balise propriétés dans le pom.xml du projet

<jackson.version>2.11.0</jackson.version>

#🎜🎜 ## 🎜🎜#

Si vous souhaitez uniquement modifier la version jackson-databind, ajoutez l'attribut jackson.version.databind

<jackson.version.databind>${jackson.version}</jackson.version.databind>

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!