ホームページ >Java >&#&チュートリアル >SpringBootアップグレードでジャクソンバージョンを指定する問題を解決する方法

SpringBootアップグレードでジャクソンバージョンを指定する問題を解決する方法

王林
王林転載
2023-05-12 14:13:352559ブラウズ

[脆弱性通知]

NVD は 2 月 19 日、JNDI インジェクションによって引き起こされる jackson-databind のリモート コード実行
脆弱性 (CVE-2020-8840) を公開するセキュリティ通知を発行しました。 CVSS スコアは 9.8 です。影響を受けるバージョンの jackson-databind には
特定の xbean-reflect/JNDI ブラックリスト クラス (org.apache.xbean.propertyeditor.JndiConverter など) が欠落しているため、攻撃者が JNDI インジェクションを使用してリモートを実装する可能性があります。コードの実装。現在、メーカーは脆弱性の修復を完了するための新しいバージョンをリリースしています。
該当するユーザーは、保護のために間に合うようにアップグレードすることが求められます。

プロジェクトで使用されている Springboot のバージョンは 2.1.3 で、組み込みの jackson バージョンは 2.9.8 であり、安全なバージョン

2.9.10.6 よりも低いため、ジャクソンのバージョンをアップグレードする必要があります。

Springboot で jackson のバージョンを変更する

プロジェクトの pom.xml のプロパティ タグの下に jackson.version 属性を追加します

<jackson.version>2.11.0</jackson.version>

SpringBootアップグレードでジャクソンバージョンを指定する問題を解決する方法

jackson-databind バージョンのみを変更したい場合は、jackson.version.databind 属性を追加します

<jackson.version.databind>${jackson.version}</jackson.version.databind>

以上がSpringBootアップグレードでジャクソンバージョンを指定する問題を解決する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明:
この記事はyisu.comで複製されています。侵害がある場合は、admin@php.cn までご連絡ください。