我有一个运行在Java 8(tomcat 8.5.5)中并使用“ jackson-databind-2.9.8.jar”的maven Web项目(RESTful,Spring Rest / data)。当针对项目使用的库运行 Dependency Check Tool (检查易受攻击的jar版本并生成报告)时,它会显示“ jackson-databind-2.9.8.jar”为 Vulnerable < / em>(参考- https://nvd.nist.gov/vuln/search/results?form_type=Advanced&results_type=overview&search_type=all&cpe_vendor=cpe%3A%2F%3Afasterxml&cpe_product=cpe%3A%2F%3Afasterxml%3Ajackson-databind&cpe_version=cpe%3A%2F%3Afasterxml%3Ajackson-databind%3A2.9.8)
问题:-更改为“ jackson-databind-2.10.0.jar”版本可解决OWASP安全问题(运行 Dependency Check Tool ),但是在构建项目时并运行它会引发错误,因为2.10.0使用jdk9 +投诉类(参考- https://github.com/FasterXML/jackson/wiki/Jackson-Release-2.10)
应该采取什么措施解决该问题,我们可以使该项目在Java 8中编译并在JDK11中运行(因为JDK9不在支持范围内)还是应该执行其他操作?请提出建议。 预先感谢!
答案 0 :(得分:1)
CVE-2019-12086已在jackson-databind-2.9.9.jar中修复。
查看报告:https://nvd.nist.gov/vuln/detail/CVE-2019-12086
2.9.9的Maven回购:https://mvnrepository.com/artifact/com.fasterxml.jackson.core/jackson-databind/2.9.9