Jackson < 2.9.9.1 反序列化远程代码执行漏洞(CVE-2019-12384) 修复后 jackson-annotations 报错 classnotfound JsonMerge

最新推荐文章于 2020-05-28 04:31:28 发布
最新推荐文章于 2020-05-28 04:31:28 发布
阅读量1.1k 收藏
点赞数
分类专栏: java JavaScript json jackson 文章标签: java jackson json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40883633/article/details/97953778
版权
java 同时被 3 个专栏收录
5 篇文章 1 订阅
订阅专栏
json
2 篇文章 0 订阅
订阅专栏
JavaScript
1 篇文章 0 订阅
订阅专栏

下面是错误信息

31-Jul-2019 19:30:59.670 严重 [RMI TCP Connection(3)-127.0.0.1] org.apache.catalina.core.StandardContext.startInternal One or more listeners failed to start. Full details will be found in the appropriate container log file
	at org.springframework.beans.factory.support.DefaultSingletonBeanRegistry.getSingleton(DefaultSingletonBeanRegistry.java:230)
31-Jul-2019 19:30:59.670 严重 [RMI TCP Connection(3)-127.0.0.1] org.apache.catalina.core.StandardContext.startInternal Context [/ronhan_pay_partner_war_exploded] startup failed due to previous errors
	at org.springframework.beans.factory.support.AbstractBeanFactory.doGetBean(AbstractBeanFactory.java:302)
	at org.springframework.beans.factory.support.AbstractBeanFactory.getBean(AbstractBeanFactory.java:202)
	at org.springframework.beans.factory.config.DependencyDescriptor.resolveCandidate(DependencyDescriptor.java:208)
	at org.springframework.beans.factory.support.DefaultListableBeanFactory.doResolveDependency(DefaultListableBeanFactory.java:1138)
	at org.springframework.beans.factory.support.DefaultListableBeanFactory.resolveDependency(DefaultListableBeanFactory.java:1066)
	at org.springframework.beans.factory.annotation.AutowiredAnnotationBeanPostProcessor$AutowiredFieldElement.inject(AutowiredAnnotationBeanPostProcessor.java:585)
	... 107 more
Caused by: org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'restTemplate' defined in com.ronhan.pay.utils.rest.RestTemplateConfig: Bean instantiation via factory method failed; nested exception is org.springframework.beans.BeanInstantiationException: Failed to instantiate [org.springframework.web.client.RestTemplate]: Factory method 'restTemplate' threw exception; nested exception is java.lang.NoClassDefFoundError: com/fasterxml/jackson/annotation/JsonMerge
	at org.springframework.beans.factory.support.ConstructorResolver.instantiateUsingFactoryMethod(ConstructorResolver.java:599)
	at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.instantiateUsingFactoryMethod(AbstractAutowireCapableBeanFactory.java:1173)
	at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.createBeanInstance(AbstractAutowireCapableBeanFactory.java:1067)
	at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.doCreateBean(AbstractAutowireCapableBeanFactory.java:513)
	at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.createBean(AbstractAutowireCapableBeanFactory.java:483)
	at org.springframework.beans.factory.support.AbstractBeanFactory$1.getObject(AbstractBeanFactory.java:306)
	at org.springframework.beans.factory.support.DefaultSingletonBeanRegistry.getSingleton(DefaultSingletonBeanRegistry.java:230)
	at org.springframework.beans.factory.support.AbstractBeanFactory.doGetBean(AbstractBeanFactory.java:302)
	at org.springframework.beans.factory.support.AbstractBeanFactory.getBean(AbstractBeanFactory.java:202)
	at org.springframework.beans.factory.config.DependencyDescriptor.resolveCandidate(DependencyDescriptor.java:208)
	at org.springframework.beans.factory.support.DefaultListableBeanFactory.doResolveDependency(DefaultListableBeanFactory.java:1138)
	at org.springframework.beans.factory.support.DefaultListableBeanFactory.resolveDependency(DefaultListableBeanFactory.java:1066)
	at org.springframework.beans.factory.annotation.AutowiredAnnotationBeanPostProcessor$AutowiredFieldElement.inject(AutowiredAnnotationBeanPostProcessor.java:585)
	... 120 more
Caused by: org.springframework.beans.BeanInstantiationException: Failed to instantiate [org.springframework.web.client.RestTemplate]: Factory method 'restTemplate' threw exception; nested exception is java.lang.NoClassDefFoundError: com/fasterxml/jackson/annotation/JsonMerge
	at org.springframework.beans.factory.support.SimpleInstantiationStrategy.instantiate(SimpleInstantiationStrategy.java:189)
	at org.springframework.beans.factory.support.ConstructorResolver.instantiateUsingFactoryMethod(ConstructorResolver.java:588)
	... 132 more
Caused by: java.lang.NoClassDefFoundError: com/fasterxml/jackson/annotation/JsonMerge
	at com.fasterxml.jackson.databind.introspect.JacksonAnnotationIntrospector.<clinit>(JacksonAnnotationIntrospector.java:50)
	at com.fasterxml.jackson.databind.ObjectMapper.<clinit>(ObjectMapper.java:291)
	at org.springframework.http.converter.json.Jackson2ObjectMapperBuilder.build(Jackson2ObjectMapperBuilder.java:588)
	at org.springframework.http.converter.json.MappingJackson2HttpMessageConverter.<init>(MappingJackson2HttpMessageConverter.java:57)
	at org.springframework.http.converter.support.AllEncompassingFormHttpMessageConverter.<init>(AllEncompassingFormHttpMessageConverter.java:66)
	at org.springframework.web.client.RestTemplate.<init>(RestTemplate.java:166)
	at org.springframework.cglib.proxy.MethodProxy.invokeSuper(MethodProxy.java:228)
	at org.springframework.context.annotation.ConfigurationClassEnhancer$BeanMethodInterceptor.intercept(ConfigurationClassEnhancer.java:358)
	at com.ronhan.pay.utils.rest.RestTemplateConfig$$EnhancerBySpringCGLIB$$45bf1124.restTemplate(<generated>)
	at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
	at java.lang.reflect.Method.invoke(Method.java:498)
	at org.springframework.beans.factory.support.SimpleInstantiationStrategy.instantiate(SimpleInstantiationStrategy.java:162)
	... 133 more
Caused by: java.lang.ClassNotFoundException: com.fasterxml.jackson.annotation.JsonMerge
	at org.apache.catalina.loader.WebappClassLoaderBase.loadClass(WebappClassLoaderBase.java:1365)
	at org.apache.catalina.loader.WebappClassLoaderBase.loadClass(WebappClassLoaderBase.java:1188)
	... 150 more

主要是没有找到类:com.fasterxml.jackson.annotation.JsonMerge
因为修复漏洞后 将 jackson-databind 的版本由 2.8.7 提高到了 2.9.9.2,而 jackson-annotations 的版本还是2.8.7
确实在 com.fasterxml.jackson.annotation 内没有找到该类,升级之后冲突版本不同有冲突,猜测是jackson-databind 将 JsonMerge 类去掉了,放到 jackson-annotations 里面
将 jackson-annotations 的版本升级到至少 2.9.0 就可以了

qq_40883633
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java.lang.ClassNotFoundException: com.fasterxml.jackson.annotation.JsonMerge
悟已往之不谏,知来者之可追
12-04 5681
报错 Caused by: java.lang.ClassNotFoundException: com.fasterxml.jackson.annotation.JsonMerge at java.net.URLClassLoader.findClass(URLClassLoader.java:382) at java.lang.ClassLoader.loadClass(ClassLoader.java:418) at org.springframework.boot.loader.Launched
项目中多个版本依赖冲突问题:Caused by: java.lang.ClassNotFoundException: com.fasterxml.jackson.annotation.JsonMerg
最新发布
u013771019的专栏
04-29 380
在2.6.7这个数据上,右键选择【Open Library Settings】,然后点击-号,进行删除。只要根据报错信息,把2.13.5版本依赖加进去就可以了。我们会看到提示,哪个模块使用了这个依赖,点击ok后,再次运行,会有对应代码报错,我这里就是,再次运行代码,就ok了。
NoClassDefFoundError: com/fasterxml/jackson/annotation/JsonMerge【已解决】
JavaPub
04-07 4616
这个问题在spring整合中遇到 想到是因为版本冲突引起 解决方法: 只保留 jackson-annotations
java.lang.NoClassDefFoundError:com / fasterxml / jackson / annotation / JsonMerge
一名可爱的技术搬运工
05-28 3708
运行与Jackson相关的项目,并遇到以下JsonMerge not found错误。 安慰 java.lang.NoClassDefFoundError: com/fasterxml/jackson/annotation/JsonMerge at com.fasterxml.jackson.databind.introspect.JacksonAnnotationIntrospect...
maven依赖jar包冲突的解决思路
热门推荐
WolfShadow的博客
04-08 4万+
注: 目的是提供maven依赖jar包冲突的解决思路 需求场景: jackson-databind、fastjson 高危远程代码执行漏洞修复Jackson-databind,版本号升级为2.10.3;fastjson,版本号升级为1.2.66 问题描述: 对需求中提到的2个工具包进行版本升级后,出现很多找不到方法的报错,比如: Caused by: java...
CVE-2019-17571:Apache Log4j 1.2.X存在反序列化远程代码执行漏洞
04-24
CVE-2019-17571/Apache Log4j 1.2.X存在反序列化远程代码执行漏洞 漏洞预警参考链接: 1. 漏洞描述 Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中...
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)以及安装步骤
11-23
Weblogic反序列化远程代码执行漏洞CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它允许攻击者通过发送恶意构造的序列化对象来执行任意代码,从而获得对服务器的完全控制。这个漏洞存在于WebLogic ...
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)
09-14
Weblogic反序列化远程代码执行漏洞CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它涉及到组件T3协议处理中的对象反序列化过程。该漏洞允许攻击者通过构造恶意的T3请求,远程执行任意代码,从而...
jackson2.9.9整合包.rar
08-02
jackson-annotations-2.9.9.jar jackson-core-2.9.9.jar jackson-databind-2.9.9.1.jar 避免jackson-databind漏洞问题
springboot中使用jackson容易引起的报错
CR2018博客
08-22 1万+
  问题: org.springframework.context.ApplicationContextException: Unable to start web server; nested exception is org.springframework.boot.web.server.WebServerException: Unable to start embedded Tomcat...
.NoClassDefFoundError: com/fasterxml/jackson/annotation/JsonMerge
鄢秋实的博客
07-04 7954
解决:将下面三个包替换掉项目中的那个。 &lt;dependency> &lt;groupId>com.fasterxml.jackson.core&lt;/groupId> &lt;artifactId>jackson-core&lt;/artifactId> &lt;version> 2.9.9&lt;/version> &...
项目实战-Jackson使用
xilove102的博客
09-06 7205
Jackson使用方法
spring-mvc引入jackson-dataformat-xml依赖后部分接口返回xml
liang16286的专栏
04-26 7605
工程是一个spring-mvc,使用jackson作为RestController序列化组件,一切都相安无事。直到有一天添加依赖的时候,间接引入了jackson-dataformat-xml,惊奇的发现部分接口的返回竟然从json变成了xml…. 带着满脸奔跑的草泥马,不禁提出了3个问题: 为什么原来是好的? 为什么只有部分接口的json变成了xml? 我该怎么解决这个问题? 问题1 为...
Jackson 官网最新资源全版本下载地址 免费 目前最新为2.9.9
Pannahouse的博客
08-09 3649
http://repo1.maven.org/maven2/com/fasterxml/jackson/core/
Jackson 反序列化漏洞(CVE-2019-14361和CVE-2019-144391修复
07-13
为了修复 Jackson 反序列化漏洞 CVE-2019-14361 和 CVE-2019-14439,你可以采取以下措施: 1. 升级 Jackson-databind 库:确保你的应用程序使用最新版本的 Jackson-databind 库。这些漏洞已在较新的版本中修复,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值