BDU:2020-03618: Уязвимость компонента org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость компонента org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор Oracle Corp., Сообщество свободного программного обеспечения, Red Hat Inc., FasterXML, LLC, ООО «РусБИТех-Астра»
Наименование ПО Primavera Unifier, WebCenter Portal, Debian GNU/Linux, WebLogic Server, Oracle Retail Customer Management and Segmentation Foundation, Oracle Retail Merchandising System, Red Hat Enterprise Linux, Database Server, Jboss Fuse, Retail Xstore Point of Service, OpenShift Application Runtimes, Red Hat Single Sign-On, Red Hat Process Automation Manager, JBoss Enterprise Application Platform Continuous Delivery, Enterprise Manager Base Platform, Red Hat Descision Manager, Financial Services Price Creation and Discovery, Oracle Agile PLM, Red Hat JBoss Data Grid, JBoss Enterprise Application Platform, JBoss EAP, Oracle Retail Service Backbone, Financial Services Analytical Applications Infrastructure, Oracle Banking Platform, Communications Instant Messaging Server, Siebel UI Framework, Jackson-databind, Oracle Global Lifecycle Management OPatch, Oracle Communications Contacts Server, Oracle Communications Evolved Communications Application Server, Communications Network Charging and Control, JD Edwards EnterpriseOne Orchestrator, JD Edwards EnterpriseOne Tools, Communications Billing and Revenue Management, Oracle Retail Sales Audit, Siebel Engineering - Installer & Deployment, GoldenGate Stream Analytics, Communications Diameter Signaling Router, Oracle Communications Element Manager, Financial Services Institutional Performance Analytics, Financial Services Retail Customer Analytics, Insurance Policy Administration J2EE, Communications Calendar Server, Astra Linux
Версия ПО 16.2 (Primavera Unifier), 16.1 (Primavera Unifier), 12.2.1.3.0 (WebCenter Portal), 8.0 (Debian GNU/Linux), 12.2.1.3.0 (WebLogic Server), 18.0 (Oracle Retail Customer Management and Segmentation Foundation), 15.0 (Oracle Retail Merchandising System), 8 (Red Hat Enterprise Linux), 12.2.0.1 (Database Server), 18c (Database Server), 19c (Database Server), 7 (Jboss Fuse), 18.8 (Primavera Unifier), 15.0 (Retail Xstore Point of Service), 16.0 (Retail Xstore Point of Service), 17.0 (Retail Xstore Point of Service), 18.0 (Retail Xstore Point of Service), 1.0 (OpenShift Application Runtimes), 19.0.0 (Retail Xstore Point of Service), 7 (Red Hat Single Sign-On), 7 (Red Hat Process Automation Manager), - (JBoss Enterprise Application Platform Continuous Delivery), 12.2.1.4.0 (WebLogic Server), 13.3.0.0 (Enterprise Manager Base Platform), 7 (Red Hat Descision Manager), 19.12 (Primavera Unifier), от 17.7 до 17.12 включительно (Primavera Unifier), 12.2.1.4.0 (WebCenter Portal), 8.0.7 (Financial Services Price Creation and Discovery), 9.3.6 (Oracle Agile PLM), 7 (Red Hat JBoss Data Grid), 7.3 for RHEL 6 (JBoss Enterprise Application Platform), 7.3 for RHEL 7 (JBoss Enterprise Application Platform), 7.3 for RHEL 8 (JBoss Enterprise Application Platform), 7 (JBoss EAP), 15.0 (Oracle Retail Service Backbone), 16.0 (Oracle Retail Service Backbone), 13.4.0.0 (Enterprise Manager Base Platform), от 8.0.6 до 8.1.0 включительно (Financial Services Analytical Applications Infrastructure), от 2.4.0 до 2.9.0 включительно (Oracle Banking Platform), 10.0.1.4.0 (Communications Instant Messaging Server), до 20.5 включительно (Siebel UI Framework), от 2.0 до 2.9.10.4 (Jackson-databind), до 12.2.0.1.20 (Oracle Global Lifecycle Management OPatch), 8.0.0.4.0 (Oracle Communications Contacts Server), 7.1 (Oracle Communications Evolved Communications Application Server), 6.0.1 (Communications Network Charging and Control), от 12.0.0 до 12.0.3 включительно (Communications Network Charging and Control), до 9.2.4.2 (JD Edwards EnterpriseOne Orchestrator), до 9.2.4.2 (JD Edwards EnterpriseOne Tools), 7.5.0.23.0 (Communications Billing and Revenue Management), 12.0.0.3.0 (Communications Billing and Revenue Management), 15.0.3 (Oracle Retail Merchandising System), 16.0.2 (Oracle Retail Merchandising System), 16.0.3 (Oracle Retail Merchandising System), 14.1 (Oracle Retail Sales Audit), до 2.20.5 включительно (Siebel Engineering - Installer & Deployment), до 19.1.0.0.1 (GoldenGate Stream Analytics), 14.1 (Oracle Retail Service Backbone), от 8.0.0 до 8.2.2 включительно (Communications Diameter Signaling Router), от 8.2.0 до 8.2.2 включительно (Oracle Communications Element Manager), 8.0.6 (Financial Services Institutional Performance Analytics), 8.7.0 (Financial Services Institutional Performance Analytics), 8.1.0 (Financial Services Institutional Performance Analytics), 8.0.6 (Financial Services Price Creation and Discovery), 8.0.6 (Financial Services Retail Customer Analytics), 11.0.2.25 (Insurance Policy Administration J2EE), 11.1.0.15 (Insurance Policy Administration J2EE), 8.0.0.4.0 (Communications Calendar Server), 8.0.0.5.0 (Oracle Communications Contacts Server), 2.12 «Орел» (Astra Linux)
Тип ПО Прикладное ПО информационных систем, Сетевое программное средство, Операционная система, СУБД, Сетевое средство, ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Не указана
  • Red Hat Inc. Red Hat Enterprise Linux 8 Не указана
  • ООО «РусБИТех-Астра» Astra Linux 2.12 «Орел» Не указана
Тип ошибки Восстановление в памяти недостоверных данных
Идентификатор типа ошибки CWE-502
Класс уязвимости Уязвимость архитектуры
Дата выявления 01.03.2020
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:M/Au:N/C:C/I:C/A:C
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для jackson-databind:
https://github.com/FasterXML/jackson-databind/issues/2631

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-9546

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/03/msg00008.html

Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются