Описание уязвимости |
Уязвимость компонента xbean-reflect/JNDI библиотеки Jackson-databind связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
Вендор
|
Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Red Hat Inc., Oracle Corp., FasterXML, LLC, Huawei Technologies Co., Ltd. |
Наименование ПО
|
Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), Red Hat Enterprise Linux, OpenShift Container Platform, Jboss Fuse, Red Hat Software Collections, JBoss Enterprise Application Platform, Red Hat Single Sign-On, JBoss Enterprise Application Platform Continuous Delivery, JBoss A-MQ, Red Hat Descision Manager, Red Hat OpenStack Platform, Oracle Global Lifecycle Management OPatch, JBoss EAP, Red Hat Process Automation, Red Hat Satellite, JBoss Data Grid, Jackson-databind, OceanStor 9000 |
Версия ПО
|
- 8.0 (Debian GNU/Linux)
- 2.12 «Орёл» (Astra Linux Common Edition)
- 8 (Red Hat Enterprise Linux)
- 3.11 (OpenShift Container Platform)
- 7 (Jboss Fuse)
- - (Red Hat Software Collections)
- 7 (JBoss Enterprise Application Platform)
- 7 (Red Hat Single Sign-On)
- - (JBoss Enterprise Application Platform Continuous Delivery)
- 6.0 (JBoss A-MQ)
- 7.2 for RHEL 6 (JBoss Enterprise Application Platform)
- 7.2 for RHEL 7 (JBoss Enterprise Application Platform)
- 7.2 for RHEL 8 (JBoss Enterprise Application Platform)
- 7 (Red Hat Descision Manager)
- 10.0 (Newton) (Red Hat OpenStack Platform)
- 13.0 (Queens) (Red Hat OpenStack Platform)
- 4 (OpenShift Container Platform)
- от 11.2.0.0.0 до 11.2.0.3.23 (Oracle Global Lifecycle Management OPatch)
- от 12.2.0.0.0 до 12.2.0.1.19 (Oracle Global Lifecycle Management OPatch)
- от 13.9.0.0.0 до 13.9.4.2.1 (Oracle Global Lifecycle Management OPatch)
- 6 (Jboss Fuse)
- 7.3 for RHEL 6 (JBoss Enterprise Application Platform)
- 7.3 for RHEL 7 (JBoss Enterprise Application Platform)
- 7.3 for RHEL 8 (JBoss Enterprise Application Platform)
- 7 (JBoss EAP)
- 7 (Red Hat Process Automation)
- 6.6 for RHEL 7 (Red Hat Satellite)
- 6.7 for RHEL 7 (Red Hat Satellite)
- 7.3 (JBoss Data Grid)
- 6.7 for RHEL 8 (Red Hat Satellite)
- от 2.0.0 до 2.9.10.2 включительно (Jackson-databind)
- от 2.7.0 до 2.7.9.7 (Jackson-databind)
- от 2.8.0 до 2.8.11.5 (Jackson-databind)
- V300R006C20 (OceanStor 9000)
- V300R006C20SPC100 (OceanStor 9000)
- V300R006C20SPC200 (OceanStor 9000)
- V300R006C20SPC300 (OceanStor 9000)
|
Тип ПО
|
Операционная система, Прикладное ПО информационных систем, Сетевое программное средство, ПО программно-аппаратного средства, Микропрограммный код |
Операционные системы и аппаратные платформы
|
|
Тип ошибки |
Восстановление в памяти недостоверных данных |
Идентификатор типа ошибки
|
|
Класс уязвимости
|
Уязвимость архитектуры |
Дата выявления |
10.02.2020 |
Базовый вектор уязвимости
|
|
Уровень опасности уязвимости
|
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5) |
Возможные меры по устранению уязвимости |
Использование рекомендаций:
Для Jackson-databind:
Обновление программного обеспечения до 2.12.1-1 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии
Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-8840
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpuapr2020.html
Для программных продуктов Huawei Technologies Co., Ltd.:
https://www.huawei.com/en/psirt/security-advisories/huawei-sa-20200610-01-fastjason-en
|
Статус уязвимости
|
Подтверждена производителем |
Наличие эксплойта |
Существует в открытом доступе |
Способ эксплуатации |
- Манипулирование структурами данных
|
Способ устранения |
Обновление программного обеспечения |
Информация об устранении |
Уязвимость устранена |
Ссылки на источники |
|
Идентификаторы других систем описаний уязвимостей
|
|
Прочая информация |
Данные уточняются |