BDU:2020-03618: Уязвимость компонента org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость компонента org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор Oracle Corp., Сообщество свободного программного обеспечения, Red Hat Inc., FasterXML, LLC
Наименование ПО Primavera Unifier, WebCenter Portal, Debian GNU/Linux, WebLogic Server, Oracle Retail Customer Management and Segmentation Foundation, Red Hat Enterprise Linux, Database Server, Jboss Fuse, Retail Xstore Point of Service, OpenShift Application Runtimes, Red Hat Single Sign-On, Red Hat Process Automation Manager, JBoss Enterprise Application Platform Continuous Delivery, Enterprise Manager Base Platform, Red Hat Descision Manager, Red Hat JBoss Data Grid, JBoss Enterprise Application Platform, JBoss EAP, Oracle Banking Platform, Communications Instant Messaging Server, Siebel UI Framework, Jackson-databind, Oracle Global Lifecycle Management OPatch, Oracle Communications Contacts Server, Oracle Communications Evolved Communications Application Server, Communications Network Charging and Control, JD Edwards EnterpriseOne Orchestrator, JD Edwards EnterpriseOne Tools, Communications Billing and Revenue Management, Oracle Retail Merchandising System, Oracle Retail Sales Audit, Siebel Engineering - Installer & Deployment, GoldenGate Stream Analytics
Версия ПО
  • 16.2 (Primavera Unifier)
  • 16.1 (Primavera Unifier)
  • 12.2.1.3.0 (WebCenter Portal)
  • 8.0 (Debian GNU/Linux)
  • 12.2.1.3.0 (WebLogic Server)
  • 18.0 (Oracle Retail Customer Management and Segmentation Foundation)
  • 8 (Red Hat Enterprise Linux)
  • 12.2.0.1 (Database Server)
  • 18c (Database Server)
  • 19c (Database Server)
  • 7 (Jboss Fuse)
  • 18.8 (Primavera Unifier)
  • 15.0 (Retail Xstore Point of Service)
  • 16.0 (Retail Xstore Point of Service)
  • 17.0 (Retail Xstore Point of Service)
  • 18.0 (Retail Xstore Point of Service)
  • 1.0 (OpenShift Application Runtimes)
  • 19.0.0 (Retail Xstore Point of Service)
  • 7 (Red Hat Single Sign-On)
  • 7 (Red Hat Process Automation Manager)
  • - (JBoss Enterprise Application Platform Continuous Delivery)
  • 12.2.1.4.0 (WebLogic Server)
  • 13.3.0.0 (Enterprise Manager Base Platform)
  • 7 (Red Hat Descision Manager)
  • 19.12 (Primavera Unifier)
  • от 17.7 до 17.12 включительно (Primavera Unifier)
  • 12.2.1.4.0 (WebCenter Portal)
  • 7 (Red Hat JBoss Data Grid)
  • 7.3 for RHEL 6 (JBoss Enterprise Application Platform)
  • 7.3 for RHEL 7 (JBoss Enterprise Application Platform)
  • 7.3 for RHEL 8 (JBoss Enterprise Application Platform)
  • 7 (JBoss EAP)
  • 13.4.0.0 (Enterprise Manager Base Platform)
  • от 2.4.0 до 2.9.0 включительно (Oracle Banking Platform)
  • 10.0.1.4.0 (Communications Instant Messaging Server)
  • до 20.5 включительно (Siebel UI Framework)
  • от 2.0 до 2.9.10.4 (Jackson-databind)
  • до 12.2.0.1.20 (Oracle Global Lifecycle Management OPatch)
  • 8.0.0.4.0 (Oracle Communications Contacts Server)
  • 7.1 (Oracle Communications Evolved Communications Application Server)
  • 6.0.1 (Communications Network Charging and Control)
  • от 12.0.0 до 12.0.3 включительно (Communications Network Charging and Control)
  • до 9.2.4.2 (JD Edwards EnterpriseOne Orchestrator)
  • до 9.2.4.2 (JD Edwards EnterpriseOne Tools)
  • 7.5.0.23.0 (Communications Billing and Revenue Management)
  • 12.0.0.3.0 (Communications Billing and Revenue Management)
  • 15.0.3 (Oracle Retail Merchandising System)
  • 16.0.2 (Oracle Retail Merchandising System)
  • 16.0.3 (Oracle Retail Merchandising System)
  • 14.1 (Oracle Retail Sales Audit)
  • до 2.20.5 включительно (Siebel Engineering - Installer & Deployment)
  • до 19.1.0.0.1 (GoldenGate Stream Analytics)
Тип ПО Прикладное ПО информационных систем, Сетевое программное средство, Операционная система, СУБД, Сетевое средство
Операционные системы и аппаратные платформы
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
  • Red Hat Inc. Red Hat Enterprise Linux 8
Тип ошибки Восстановление в памяти недостоверных данных
Идентификатор типа ошибки
Класс уязвимости Уязвимость архитектуры
Дата выявления 01.03.2020
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для jackson-databind:
https://github.com/FasterXML/jackson-databind/issues/2631

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-9546

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/03/msg00008.html
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения