ホームページ >Java >&#&チュートリアル >SpringBootアップグレードでジャクソンバージョンを指定する問題を解決する方法
プロジェクトで使用されている Springboot のバージョンは 2.1.3 で、組み込みの jackson バージョンは 2.9.8 であり、安全なバージョンNVD は 2 月 19 日、JNDI インジェクションによって引き起こされる jackson-databind のリモート コード実行
脆弱性 (CVE-2020-8840) を公開するセキュリティ通知を発行しました。 CVSS スコアは 9.8 です。影響を受けるバージョンの jackson-databind には
特定の xbean-reflect/JNDI ブラックリスト クラス (org.apache.xbean.propertyeditor.JndiConverter など) が欠落しているため、攻撃者が JNDI インジェクションを使用してリモートを実装する可能性があります。コードの実装。現在、メーカーは脆弱性の修復を完了するための新しいバージョンをリリースしています。
該当するユーザーは、保護のために間に合うようにアップグレードすることが求められます。
2.9.10.6 よりも低いため、ジャクソンのバージョンをアップグレードする必要があります。
<jackson.version>2.11.0</jackson.version>
jackson-databind バージョンのみを変更したい場合は、jackson.version.databind 属性を追加します
<jackson.version.databind>${jackson.version}</jackson.version.databind>
以上がSpringBootアップグレードでジャクソンバージョンを指定する問題を解決する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。