BDU:2021-01572: Уязвимость компонента xbean-reflect/JNDI библиотеки Jackson-databind, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Описание уязвимости Уязвимость компонента xbean-reflect/JNDI библиотеки Jackson-databind связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Вендор Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Red Hat Inc., Oracle Corp., FasterXML, LLC, Huawei Technologies Co., Ltd.
Наименование ПО Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), Red Hat Enterprise Linux, OpenShift Container Platform, Jboss Fuse, Red Hat Software Collections, JBoss Enterprise Application Platform, Red Hat Single Sign-On, JBoss Enterprise Application Platform Continuous Delivery, JBoss A-MQ, Red Hat Descision Manager, Red Hat OpenStack Platform, Oracle Global Lifecycle Management OPatch, JBoss EAP, Red Hat Process Automation, Red Hat Satellite, JBoss Data Grid, Jackson-databind, OceanStor 9000
Версия ПО
  • 8.0 (Debian GNU/Linux)
  • 2.12 «Орёл» (Astra Linux Common Edition)
  • 8 (Red Hat Enterprise Linux)
  • 3.11 (OpenShift Container Platform)
  • 7 (Jboss Fuse)
  • - (Red Hat Software Collections)
  • 7 (JBoss Enterprise Application Platform)
  • 7 (Red Hat Single Sign-On)
  • - (JBoss Enterprise Application Platform Continuous Delivery)
  • 6.0 (JBoss A-MQ)
  • 7.2 for RHEL 6 (JBoss Enterprise Application Platform)
  • 7.2 for RHEL 7 (JBoss Enterprise Application Platform)
  • 7.2 for RHEL 8 (JBoss Enterprise Application Platform)
  • 7 (Red Hat Descision Manager)
  • 10.0 (Newton) (Red Hat OpenStack Platform)
  • 13.0 (Queens) (Red Hat OpenStack Platform)
  • 4 (OpenShift Container Platform)
  • от 11.2.0.0.0 до 11.2.0.3.23 (Oracle Global Lifecycle Management OPatch)
  • от 12.2.0.0.0 до 12.2.0.1.19 (Oracle Global Lifecycle Management OPatch)
  • от 13.9.0.0.0 до 13.9.4.2.1 (Oracle Global Lifecycle Management OPatch)
  • 6 (Jboss Fuse)
  • 7.3 for RHEL 6 (JBoss Enterprise Application Platform)
  • 7.3 for RHEL 7 (JBoss Enterprise Application Platform)
  • 7.3 for RHEL 8 (JBoss Enterprise Application Platform)
  • 7 (JBoss EAP)
  • 7 (Red Hat Process Automation)
  • 6.6 for RHEL 7 (Red Hat Satellite)
  • 6.7 for RHEL 7 (Red Hat Satellite)
  • 7.3 (JBoss Data Grid)
  • 6.7 for RHEL 8 (Red Hat Satellite)
  • от 2.0.0 до 2.9.10.2 включительно (Jackson-databind)
  • от 2.7.0 до 2.7.9.7 (Jackson-databind)
  • от 2.8.0 до 2.8.11.5 (Jackson-databind)
  • V300R006C20 (OceanStor 9000)
  • V300R006C20SPC100 (OceanStor 9000)
  • V300R006C20SPC200 (OceanStor 9000)
  • V300R006C20SPC300 (OceanStor 9000)
Тип ПО Операционная система, Прикладное ПО информационных систем, Сетевое программное средство, ПО программно-аппаратного средства, Микропрограммный код
Операционные системы и аппаратные платформы
Тип ошибки Восстановление в памяти недостоверных данных
Идентификатор типа ошибки
Класс уязвимости Уязвимость архитектуры
Дата выявления 10.02.2020
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Jackson-databind:
Обновление программного обеспечения до 2.12.1-1 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-8840

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpuapr2020.html

Для программных продуктов Huawei Technologies Co., Ltd.:
https://www.huawei.com/en/psirt/security-advisories/huawei-sa-20200610-01-fastjason-en
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения