У меня есть веб-проект maven (RESTful, Spring Rest / data), работающий в Java 8 (tomcat 8.5.5) и использующий 'jackson-databind-2.9.8.jar'. Когда Dependency Check Tool (проверяет уязвимую версию jar и генерирует отчет) запускается для библиотек, используемых проектом, он показывает 'jackson-databind-2.9.8.jar' как Уязвимый ( Reference- https://nvd.nist.gov/vuln/search/results?form_type=Advanced&results_type=overview&search_type=all&cpe_vendor=cpe%3A%2F%3Afasterxml&cpe_product=cpe%3A%2F%3Afasterxml%3Ajackson-databind&cpe_version=cpe%3A%2F%3Afasterxml%3Ajackson-databind%3A2.9.8)
Проблема: - Изменение на исправления версии 'jackson-databind-2.10.0.jar' OW ASP проблема безопасности (при запуске Dependency Check Tool ), но когда проект собирается и запускается, он выдает ошибку, поскольку 2.10.0 использует классы жалоб jdk9 + ( Reference- https://github.com/FasterXML/jackson/wiki/Jackson-Release-2.10)
Что нужно сделать для решения проблемы, можем ли мы заставить проект скомпилировать в Java 8 и запустить в JDK11 (так как JDK9 не поддерживается) или что-то еще нужно сделать ? Пожалуйста, предложите. Заранее спасибо!
CVE-2019-12086 фиксируется в jackson-databind-2.9.9.jar.
jackson-databind-2.9.9.jar
См. Отчет: https://nvd.nist.gov/vuln/detail/CVE-2019-12086
Репозиторий Maven для 2.9.9: https://mvnrepository.com/artifact/com.fasterxml.jackson.core/jackson-databind/2.9.9