Spring框架是否因为Jackson依赖而易受攻击

Question

由于Jackson Databind漏洞，一个已经持续了一段时间的传奇故事，我们的安全团队要求我们完全从Jackson库转移到Gson。我们成功地完成了这项工作，但现在我们了解到Spring本身对Jackson有一个运行时依赖。因此，除非我们能够识别并移除这种依赖，否则我们可能会被要求完全远离Spring。

有没有办法从Spring框架中消除对Jackson的依赖，如果没有，我们真的有风险吗？如果我们没有风险，我们如何向我们的安全团队证明这一点？

Answer 1

与任何其他软件一样，您应该使用安全修复程序升级您的库、最新的Jackson 2.9.8 released

照常，建议升级:此补丁版本包含多个与安全相关的修复程序，因此强烈建议您升级。

有关详细信息，请参阅release notes。