今天公司发出了修复jackson-databind的安全漏洞分析,让公司统一修复,以下是过程:
一、基本描述
在2.9.9之前的FasterXML jackson-databind 2.x中发现了一个问题。为外部公开的JSON端点启用默认键入(全局或特定属性)时,该服务在类路径中具有mysql-connector-java jar(8.0.14或更早版本),并且攻击者可以托管精心设计的MySQL服务器可以访问服务器,攻击者可以发送精心设计的JSON消息,允许他们读取服务器上的任意本地文件。这是因为缺少com.mysql.cj.jdbc.admin.MiniAdmin验证。
二、修复过程
1、全盘查询项目中是否用到此jar文件,升级到2.9.9.1
三、遇到的问题
引入的maven文件中可能会包含这个jar文件,比如:logback文件中就引入的词jar文件。
本来想着是升级logback版本,对应的jackson-databind也会跟着升级,但是,想错了,并非如此。
目前解决方案是:直接引入此jar文件,覆盖其它版本即可。