今天公司發出了修復jackson-databind的安全漏洞分析,讓公司統一修復,以下是過程:
一、基本描述
在2.9.9之前的FasterXML jackson-databind 2.x中發現了一個問題。為外部公開的JSON端點啟用默認鍵入(全局或特定屬性)時,該服務在類路徑中具有mysql-connector-java jar(8.0.14或更早版本),並且攻擊者可以托管精心設計的MySQL服務器可以訪問服務器,攻擊者可以發送精心設計的JSON消息,允許他們讀取服務器上的任意本地文件。這是因為缺少com.mysql.cj.jdbc.admin.MiniAdmin驗證。
二、修復過程
1、全盤查詢項目中是否用到此jar文件,升級到2.9.9.1
三、遇到的問題
引入的maven文件中可能會包含這個jar文件,比如:logback文件中就引入的詞jar文件。
本來想着是升級logback版本,對應的jackson-databind也會跟着升級,但是,想錯了,並非如此。
目前解決方案是:直接引入此jar文件,覆蓋其它版本即可。