最近收到了腾讯云推送的fastjson(CVE-2022-25845)、jackson databind(CVE-2022-42003)漏洞,腾讯云定义的级别还挺高,现在共享下解决方案,大家自行判断,不一定适用所有项目。
fastjson的漏洞,腾讯云有案例,让升级jar包即可,这个jar包不影响其他的,只需要提升版本就行(如果有其他的包依赖着fastjson其他版本,maven中exclusion下就可以)。
jackson databind的漏洞,颇费了一番功夫。解决方案也是让升级jar包到2.14.0-rc2版本或以上,但是直接升级的时候有问题,springboot中的 spring-boot-starter-web 包中包含了jackson的版本(里面有个 spring-boot-starter-json,这个包里制定了jackson的相关版本),升级springboot版本或者其他方式,都对现有的项目造成了影响。所以我把 spring-boot-starter-web 包中的依赖全部copy出来了,然后升级了jackson到2.14.0-rc2,接下来需要手动引入jackson-core、jackson-annotations即可成功。
项目运行无问题,jar的版本都符合解决方案,然后上线发布……
声明:本人所写博客无任何权威性,解决办法是否符合自己的项目,自行判断。
fastjson、jackson databind漏洞修复记录
最新推荐文章于 2024-05-03 22:30:16 发布