如下,是安全公司扫描出来的Jackson漏洞,只用修复Jackson-databind这一个jar包,不是一共3个jar包吗?

1.Jackson-databind 远程代码执行漏洞(CVE-2020-8840)
请到官网下载升级到Jackson-databind 2.7.9.7、2.8.11.5、2.9.10.3、2.10及以上最新版本修复该漏洞

2.Jackson框架远程代码执行漏洞(CVE-2017-17485)
请到官网下载升级到Jackson-databind2.8.11、2.9.4以上最新版本修复该漏洞,

疑问:Jackson不是一共三个jar包吗?为什么只让修复Jackson-databind?

阅读 3.3k
1 个回答

你说的是 jackson-corejackson-annotationsjackson-databind 这三个?

分别是:

  • 核心库:提供基本的抽象数据类型(如 JsonToken 等)。
  • 注解库:提供面向切面编程的注解功能,依赖于 jackson-core
  • 数据绑定库:是核心库中抽象类型的具体实现,依赖于 jackson-corejackson-annotations

抽象类当然不会有安全漏洞,要有也是逻辑上的 Bug。有漏洞要么是注解那出现问题了、要么是数据绑定那出现问题了,你贴的这两个 CVE 显然只是数据绑定这个库有漏洞。

P.S. 后者对前者的版本有一定的依赖约束,有些时候让你更新后者,你也就不得不连带着把前者更新了。

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
推荐问题