如何解决sonatype-2017-0312漏洞

Question

Sonatype Nexus IQ Server component scan指出Jackson-Databind版本2.9.9库存在编码为sonatype-2017-0312的漏洞问题。

jackson-databind易受远程代码执行(RCE)攻击。BeanDeserializerFactory类中的createBeanDeserializer()函数允许对不受信任的BeanDeserializerFactory对象进行反序列化。远程攻击者可以通过上载恶意序列化对象来攻击此漏洞，如果应用程序试图对其进行反序列化，该对象将导致RCE。

我试过使用redhat版本的Jackson-databind和sonatype推荐的不同类型，但最后我们现在面对的是jackson-databind-2.9.8.redhat-00004.jar，并以两个漏洞CVE-2019-12086和sonatype-2017-0312结束。

Answer 1

一种解决方案是将gson设置为首选的- json -mapper作为替代的json实现提供者。

对于maven依赖项管理：

    <dependency>
        <groupId>com.google.code.gson</groupId>
        <artifactId>gson</artifactId>
        <version>2.8.5</version>
    </dependency>

还有其他的:杰克逊图书馆，谷歌-Gson图书馆，JSON-lib，Flexjson，json-io，genson，JSONiJ图书馆。

Answer 2

不要因为有漏洞就抛弃杰克逊，这是荒谬的。

只需将您的项目所依赖的Jackson数据库版本升级到解决该漏洞的版本即可。例如,

<dependency>
    <groupId>com.fasterxml.jackson.core</groupId>
    <artifactId>jackson-databind</artifactId>
    <version>2.9.9.1</version>
</dependency>