SpringBootアップグレードでジャクソンバージョンを指定する問題を解決する方法

[脆弱性通知]

NVD は 2 月 19 日、JNDI インジェクションによって引き起こされる jackson-databind のリモート コード実行
脆弱性 (CVE-2020-8840) を公開するセキュリティ通知を発行しました。 CVSS スコアは 9.8 です。影響を受けるバージョンの jackson-databind には
特定の xbean-reflect/JNDI ブラックリスト クラス (org.apache.xbean.propertyeditor.JndiConverter など) が欠落しているため、攻撃者が JNDI インジェクションを使用してリモートを実装する可能性があります。コードの実装。現在、メーカーは脆弱性の修復を完了するための新しいバージョンをリリースしています。
該当するユーザーは、保護のために間に合うようにアップグレードすることが求められます。

プロジェクトで使用されている Springboot のバージョンは 2.1.3 で、組み込みの jackson バージョンは 2.9.8 であり、安全なバージョン

2.9.10.6 よりも低いため、ジャクソンのバージョンをアップグレードする必要があります。

Springboot で jackson のバージョンを変更する

プロジェクトの pom.xml のプロパティ タグの下に jackson.version 属性を追加します

<jackson.version>2.11.0</jackson.version>

jackson-databind バージョンのみを変更したい場合は、jackson.version.databind 属性を追加します

<jackson.version.databind>${jackson.version}</jackson.version.databind>

以上がSpringBootアップグレードでジャクソンバージョンを指定する問題を解決する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。