关于Jar包jackson-databind执行漏洞:CDH集群5.13.3修复

介绍

【漏洞通告】Jackson-databind远程代码执行漏洞(CVE-2020-8840)通告

	2月19日,NVD发布安全通告披露了jackson-databind由JNDI注入导致的远程代码执行
漏洞(CVE-2020-8840),CVSS评分为9.8 。受影响版本的jackson-databind中由于缺少
某些xbean-reflect/JNDI黑名单类,如org.apache.xbean.propertyeditor.JndiConverter,可
导致攻击者使用JNDI注入的方式实现远程代码执行。目前厂商已发布新版本完成漏洞修复,
请相关用户及时升级进行防护。

受影响版本

2.0.0 <= FasterXML jackson-databind <= 2.9.10.2

不受影响版本

FasterXML jackson-databind = 2.8.11.5
FasterXML jackson-databind = 2.9.10.3(暂未发布)

修复流程

1. 找到对应的Jar包:jackson-databind,jackson-core,jackson-core并替换新的Jar包即可!
原因:
	由于Jar包jackson-databind同时还依赖了jackson-core和jackson-annation两个Jar包,所以在替换
的时候这三个一起替换即可,同时还需要注意这三个Jar包是同一个版本。

参考链接:https://nvd.nist.gov/vuln/detail/CVE-2020-8840

好记性不如笔记来的实在!!!

上一篇:大数据运维架构师培训(5):大数据管理平台(Cloudera CM/CDH/CDP)


下一篇:在CDH集群外提交Spark流处理程序报错NoClassDefFoundError kafka consumer