1.Jackson-databind 远程代码执行漏洞(CVE-2020-8840)
请到官网下载升级到Jackson-databind 2.7.9.7、2.8.11.5、2.9.10.3、2.10及以上最新版本修复该漏洞
2.Jackson框架远程代码执行漏洞(CVE-2017-17485)
请到官网下载升级到Jackson-databind2.8.11、2.9.4以上最新版本修复该漏洞,
疑问:Jackson不是一共三个jar包吗?为什么只让修复Jackson-databind?
1.Jackson-databind 远程代码执行漏洞(CVE-2020-8840)
请到官网下载升级到Jackson-databind 2.7.9.7、2.8.11.5、2.9.10.3、2.10及以上最新版本修复该漏洞
2.Jackson框架远程代码执行漏洞(CVE-2017-17485)
请到官网下载升级到Jackson-databind2.8.11、2.9.4以上最新版本修复该漏洞,
疑问:Jackson不是一共三个jar包吗?为什么只让修复Jackson-databind?
4 回答1.6k 阅读✓ 已解决
4 回答1.4k 阅读✓ 已解决
1 回答2.6k 阅读✓ 已解决
4 回答2k 阅读
2 回答791 阅读✓ 已解决
2 回答1.7k 阅读
2 回答1.4k 阅读
你说的是
jackson-core
、jackson-annotations
、jackson-databind
这三个?分别是:
jackson-core
。jackson-core
、jackson-annotations
。抽象类当然不会有安全漏洞,要有也是逻辑上的 Bug。有漏洞要么是注解那出现问题了、要么是数据绑定那出现问题了,你贴的这两个 CVE 显然只是数据绑定这个库有漏洞。
P.S. 后者对前者的版本有一定的依赖约束,有些时候让你更新后者,你也就不得不连带着把前者更新了。