关于Jar包jackson-databind执行漏洞：CDH集群5.13.3修复

介绍

【漏洞通告】Jackson-databind远程代码执行漏洞（CVE-2020-8840）通告

	2月19日，NVD发布安全通告披露了jackson-databind由JNDI注入导致的远程代码执行
漏洞（CVE-2020-8840），CVSS评分为9.8 。受影响版本的jackson-databind中由于缺少
某些xbean-reflect/JNDI黑名单类，如org.apache.xbean.propertyeditor.JndiConverter，可
导致攻击者使用JNDI注入的方式实现远程代码执行。目前厂商已发布新版本完成漏洞修复，
请相关用户及时升级进行防护。

受影响版本

2.0.0 <= FasterXML jackson-databind <= 2.9.10.2

不受影响版本

FasterXML jackson-databind = 2.8.11.5
FasterXML jackson-databind = 2.9.10.3（暂未发布）

修复流程

Jar包版本：2.10.2
1. 找到对应的Jar包：jackson-databind，jackson-core，jackson-annotations并替换新的Jar包即可！
2. 同时需要把之前建立的软连接删除，重新建立新的软连接！

三个Jar一起替换的原因：
	由于Jar包jackson-databind同时还依赖了jackson-core和jackson-annotations两个Jar包（三个Jar包相互依赖），
所以在替换的时候这三个一起替换即可，同时还需要注意这三个Jar包是同一个版本。

参考链接：https://nvd.nist.gov/vuln/detail/CVE-2020-8840

好记性不如笔记来的实在！！！