BDU:2021-01382: Уязвимость метода readValue класса ObjectMapper библиотеки Jackson-databind, связанная с восстановлением в памяти недостоверной структуры данных, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Описание уязвимости Уязвимость метода readValue класса ObjectMapper библиотеки Jackson-databind связана с некорректной проверкой входных данных до попытки их десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Вендор Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Red Hat Inc., FasterXML, LLC
Наименование ПО Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), OpenShift Container Platform, JBoss Enterprise Application Platform, Jboss Operations Network, Jboss Fuse, Red Hat Software Collections, Jackson-databind
Версия ПО
  • 9.0 (Debian GNU/Linux)
  • 2.12 «Орёл» (Astra Linux Common Edition)
  • 4.1 (OpenShift Container Platform)
  • 10.0 (Debian GNU/Linux)
  • 3.11 (OpenShift Container Platform)
  • 6.4 (JBoss Enterprise Application Platform)
  • 3.3 (Jboss Operations Network)
  • 7 (Jboss Fuse)
  • - (Red Hat Software Collections)
  • 7 (JBoss Enterprise Application Platform)
  • 7.1 for RHEL 6 (JBoss Enterprise Application Platform)
  • 6 (JBoss Enterprise Application Platform)
  • 6.4 for RHEL 5 (JBoss Enterprise Application Platform)
  • 6.4 for RHEL 6 (JBoss Enterprise Application Platform)
  • от 2.6.0 до 2.6.7.3 (Jackson-databind)
  • от 2.7.0 до 2.7.9.2 (Jackson-databind)
  • от 2.8.0 до 2.8.11 (Jackson-databind)
  • от 2.9.0 до 2.9.4 (Jackson-databind)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Восстановление в памяти недостоверных данных
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 10.12.2017
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Jackson-databind:
Обновление программного обеспечения до 2.12.1-1 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета jackson-databind) до 2.9.8-3+deb10u1 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.9.8-3+deb10u1 или более поздней версии

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2018:0116
https://access.redhat.com/errata/RHSA-2018:0342
https://access.redhat.com/errata/RHSA-2018:0478
https://access.redhat.com/errata/RHSA-2018:0479
https://access.redhat.com/errata/RHSA-2018:0480
https://access.redhat.com/errata/RHSA-2018:0481
https://access.redhat.com/errata/RHSA-2018:1447
https://access.redhat.com/errata/RHSA-2018:1448
https://access.redhat.com/errata/RHSA-2018:1449
https://access.redhat.com/errata/RHSA-2018:1450
https://access.redhat.com/errata/RHSA-2018:1451
https://access.redhat.com/errata/RHSA-2018:2930
https://access.redhat.com/errata/RHSA-2019:1782
https://access.redhat.com/errata/RHSA-2019:1797
https://access.redhat.com/errata/RHSA-2019:2858
https://access.redhat.com/errata/RHSA-2019:3149
https://access.redhat.com/errata/RHSA-2019:3892
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения