极客观点
项目管理
HarmonyOS
1.Jackson-databind 远程代码执行漏洞(CVE-2020-8840)
请到官网下载升级到Jackson-databind 2.7.9.7、2.8.11.5、2.9.10.3、2.10及以上最新版本修复该漏洞
2.Jackson框架远程代码执行漏洞(CVE-2017-17485)
请到官网下载升级到Jackson-databind2.8.11、2.9.4以上最新版本修复该漏洞,
疑问:Jackson不是一共三个jar包吗?为什么只让修复Jackson-databind?
如下,是安全公司扫描出来的Jackson漏洞,只用修复Jackson-databind这一个jar包,不是一共3个jar包吗?
java阅读 3.3k
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
Java 开发 URL 匹配问题?
所有url都是对应 spring boot 3.5.0 @PostMapping访问前先进拦截器,查看有没有访问权限,获取请求url,然后根据url去查是否有匹配的,现在静态的1,3,7直接查询是否相等就可以了,对于动态2,4,5,6怎么匹配?4 回答1.7k 阅读✓ 已解决
诺依框架自动生成代码前端Vue3提交数据,后端Java没收到问题出在哪里?
使用诺依框架自动生成代码功能。前端在请求地址处打印提交数据(有数据)如下图,后端Debug模式,进入断点查看数据如下图所示(无数据),问题一般出在哪里?========== Payload ===========4 回答1.5k 阅读✓ 已解决
WSL里的Ubuntu系统开发Spring Boot报错Project build error: Non-readable POM ?
在wsl装了Ubuntu20,clone了以前的Java项目,但是用Vscode打开项目报错,请问这是哪个环节出现了问题,以前clone下来直接跑,在win10环境也是正常启动的,请问是mvn环境的配置问题,还是WSL的环境配置问题?1 回答2.7k 阅读✓ 已解决
MyBatis Plus 如何对敏感字段加解密(使用哪种加密方式)?
MyBatis Plus 如何对敏感字段加解密(使用哪种加密方式)?不同敏感字段需要使用不同的密钥,加密取出后给前端需要做脱敏,脱敏是在 Jackson 序列化到前端的时候做吗?4 回答2.3k 阅读
spring boot 报错怎么解决:Invalid bean definition with name 'appMapper' defined in file ?
spring boot 报错怎么解决?org.springframework.beans.factory.BeanDefinitionStoreException: Invalid bean definition with name 'appMapper' defined in file ?3 回答1.3k 阅读✓ 已解决
请问是否有什么方案实现不同用户之间本地数据库的同步呢?
请问是否有这样的功能?比如我本地A应用有应用sqlite数据库,然后用户B有同样的应用,C用户也有。A的数据库会自己增删改查,B/C的也会,但是有一天他们想要同步数据。请问是否有什么方案实现呢?2 回答838 阅读✓ 已解决
idea 中 有很多个 yml配置文件 , 如果想查找 a.b.c.d.e属性 有什么好的办法吗?
idea 中 有很多个 yml配置文件 , 如果想查找 a.b.c.d.e属性 有什么好的办法吗?2 回答1.4k 阅读
你说的是
jackson-core、jackson-annotations、jackson-databind这三个?分别是:
jackson-core。jackson-core、jackson-annotations。抽象类当然不会有安全漏洞,要有也是逻辑上的 Bug。有漏洞要么是注解那出现问题了、要么是数据绑定那出现问题了,你贴的这两个 CVE 显然只是数据绑定这个库有漏洞。
P.S. 后者对前者的版本有一定的依赖约束,有些时候让你更新后者,你也就不得不连带着把前者更新了。