在2019年7月29日,发布了影响com.fasterxml.jackson.core:jackson-databind直至2.9.9.2的所有版本的严重程度高的
反信任数据反序列化
(
CVE-2019-14379
,
CVE-2019-14439
)。
对于使用Spring Boot的用户,请注意,当前版本(2.1.7)取决于较旧的易受攻击的jackson-databind 2.9.9软件包。
关于漏洞
这不是第一次让jackson-databind程序包受到“反信任的数据反序列化”漏洞的攻击。实际上,自2018年以来,已知和披露了十多个此类漏洞,更不用说几乎所有这些漏洞都被认为是严重漏洞。
该库的主要目标是将Java对象序列化为JSON,反之亦然。问题在于将JSON反序列化为Java对象。当编写不良的Java应