由于Jackson Databind漏洞已经持续了一段时间,我们的安全团队要求我们从Jackson库完全转移到Gson。我们成功地完成了这项工作,但现在我们了解到Spring本身在运行时依赖于Jackson。因此,除非我们能够识别并删除这种依赖关系,否则我们可能会被要求完全离开Spring。
有没有办法从Spring框架中消除对Jackson的依赖?如果没有,我们真的有风险吗?如果我们没有风险,我们如何向我们的安全团队证明这一点?
与任何其他软件一样,您应该升级您的库,最新的Jackson 2.9.8发布了安全修复
与往常一样,建议升级:此补丁版本包含多个与安全相关的修复程序,因此强烈建议升级。
有关更多信息,请参阅发行说明。