[alibaba/arthas]请升级一下依赖 jackson-databind 的版本

2024-07-17 427 views
1
环境信息
  • arthas-boot.jar 或者 as.sh 的版本: 3.6.8
  • Arthas 版本: 3.6.8
  • 操作系统版本: 无关
  • 目标进程的JVM版本: 无关
  • 执行arthas-boot的版本: 3.6.8
重现问题的步骤

发版打包出来的arthas-core.jar 里面存在依赖低版本的 com.fasterxml.jackson.core:jackson-databind:2.7.9.4 , 该版本发版日期为 2018年6月, maven中央仓库上面显示的CVE漏洞目前已经有47个,其中紧急CVE漏洞有 23个,最近的紧急漏洞为:CVE-2020-9548 修复版本为 2.9.10.4, 该系列下最新的版本号为 2.9.10.8。 2.9.10.8存在已知CVE: CVE-2022-42004 score: high 7.5 受BeanDeserializer._deserializeFromArray 功能影响,反序列化时产生问题。 CVE-2022-42003 score: high 7.5 UNWRAP_SINGLE_VALUE_ARRAYS 特性启用时受影响 CVE-2020-36518 score: high 7.5 DOS风险

2.7.9.4版本严重的CVE有:

建议评估一下是否可以升级到 2.9.10.8 版本。

如无特殊用法要求和自动化测试有较高覆盖率的话, 建议使用版本2.13.5 2.14.2, 目前无已知漏洞。

期望的结果

依赖的jackson-databind版本升级至无严重安全漏洞的版本。

实际运行的结果

使用了很低版本带安全风险的组件,存在被利用的风险。

回答

3

$ ./mvnw -Dincludes="com.fasterxml.jackson.core:jackson-databind:*" dependency:tree

是由 com.alibaba.middleware:termd-core:1.1.7.12 引入的依赖, 可以考虑升级该包的版本, 该版本外部无更新的版本可用,该包2021年9月发布,存在CVE 79个(最早的为 CVE-2016-5725), 也建议适当更新该依赖。

5

主要是之前要支持 jdk 6的应用。后续切换到 jdk8之后,统一升级一波。

5

@hengyunabc 本地可以使用 mvn org.owasp:dependency-check-maven:8.2.1:check扫描依赖有没有CVE安全问题 。新机器初次会比较慢会下载漏洞库, 后面就快了。扫描完成可以浏览器打开 target/dependency-check-report.html 查看扫描结果。

8

这个有计划再4.x中解决嘛?还是说会在3.x中也会解决,有具体的计划嘛?