canal 1.1.5 被检测fastjson漏洞、Jackson-databind 反序列化漏洞

[xiaomianyijiu]

Question

FastJSON＜=1.2.68 远程代码执行漏洞 -- Jackson-databind远程代码执行漏洞(CVE-2019-12384) FastJSON＜1.2.60 远程拒绝服务漏洞 Jackson-databind 反序列化漏洞(CVE-2020-35490、CVE-2020-35491) XStream 远程代码执行漏洞(CVE-2020-26217) Jackson-databind 远程代码执行漏洞(CVE-2020-8840) Jackson-databind 反序列化远程代码执行漏洞(CVE-2020-24616) FastJSON＜=1.2.60 远程代码执行漏洞 Spring Framework反射型文件下载漏洞(CVE-2020-5421) FastJSON＜=1.2.62 远程代码执行漏洞 XStream 任意文件删除漏洞和服务端请求伪造漏洞(CVE-2020-26259、CVE-2020-26258) Jackson-databind 远程代码执行漏洞(CVE-2020-9547、CVE-2020-9548)

[xiaomianyijiu]

版本范围内|版本比对检测结果：-jackson-databind 当前安装版本：2.9.5 应用相关信息：

• 应用路径：/canal/canal-adapter/lib/jackson-databind-2.9.5.jar
• jackson-databind

修复建议

将 Jackson-databind 升级到 2.9.10.8、2.10 及以上版本，下载地址：https://github.com/FasterXML/jackson-databind/releaseshttps://mvnrepository.com/artifact/com.fasterxml.jackson.core/jackson-databind

检测结果：- FastJSON 当前安装版本：1.2.58.sec06 应用相关信息：

• 应用路径：/data/soft/canal/canal-adapter/lib/fastjson-1.2.58.sec06.jar

修复建议 将 FastJSON 升级到 1.2.61及以上版本，下载地址：https://mvnrepository.com/artifact/com.alibaba/fastjson

[wuganzhi]

Spring Framework反射型文件下载漏洞(https://github.com/advisories/GHSA-rv39-3qh7-9v7w)请问怎么处理了？

[Winderxia]

版本范围内|版本比对检测结果：-jackson-databind 当前安装版本：2.9.5 应用相关信息：

• 应用路径：/canal/canal-adapter/lib/jackson-databind-2.9.5.jar
• jackson-databind

修复建议

将 Jackson-databind 升级到 2.9.10.8、2.10 及以上版本，下载地址：https://github.com/FasterXML/jackson-databind/releaseshttps://mvnrepository.com/artifact/com.fasterxml.jackson.core/jackson-databind

检测结果：- FastJSON 当前安装版本：1.2.58.sec06 应用相关信息：

• 应用路径：/data/soft/canal/canal-adapter/lib/fastjson-1.2.58.sec06.jar

修复建议 将 FastJSON 升级到 1.2.61及以上版本，下载地址：https://mvnrepository.com/artifact/com.alibaba/fastjson

所以最后怎么解决？升级版本重新打包？

[agapple]

https://github.com/alibaba/canal/commit/681d03fbe7f0c32cdae6af3c44877ffb69f30638