Welcome toVigges Developer Community-Open, Learning,Share
Ask a Question
Welcome To Ask or Share your Answers For Others

Categories

如下,是安全公司扫描出来的Jackson漏洞,只用修复Jackson-databind这一个jar包,不是一共3个jar包吗?

0 votes
510 views
in Technique[技术] by (71.8m points)

如下,是安全公司扫描出来的Jackson漏洞,只用修复Jackson-databind这一个jar包,不是一共3个jar包吗?

1.Jackson-databind 远程代码执行漏洞(CVE-2020-8840)
请到官网下载升级到Jackson-databind 2.7.9.7、2.8.11.5、2.9.10.3、2.10及以上最新版本修复该漏洞

2.Jackson框架远程代码执行漏洞(CVE-2017-17485)
请到官网下载升级到Jackson-databind2.8.11、2.9.4以上最新版本修复该漏洞,

疑问:Jackson不是一共三个jar包吗?为什么只让修复Jackson-databind?


与恶龙缠斗过久,自身亦成为恶龙;凝视深渊过久,深渊将回以凝视…
Welcome To Ask or Share your Answers For Others

1 Answer

0 votes
by (71.8m points)

你说的是 jackson-corejackson-annotationsjackson-databind 这三个?

分别是:

  • 核心库:提供基本的抽象数据类型(如 JsonToken 等)。
  • 注解库:提供面向切面编程的注解功能,依赖于 jackson-core
  • 数据绑定库:是核心库中抽象类型的具体实现,依赖于 jackson-corejackson-annotations

抽象类当然不会有安全漏洞,要有也是逻辑上的 Bug。有漏洞要么是注解那出现问题了、要么是数据绑定那出现问题了,你贴的这两个 CVE 显然只是数据绑定这个库有漏洞。

P.S. 后者对前者的版本有一定的依赖约束,有些时候让你更新后者,你也就不得不连带着把前者更新了。


与恶龙缠斗过久,自身亦成为恶龙;凝视深渊过久,深渊将回以凝视…
Welcome to Vigges Developer Community for programmer and developer-Open, Learning and Share

Just Browsing Browsing

2.1m questions

2.1m answers

63 comments

56.6k users

Most popular tags

Snow Theme by Q2A Market
Powered by Question2Answer
...