Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-04797

Опубликовано: 21 янв. 2018
Источник: fstec
CVSS3: 8.1
CVSS2: 7.6
EPSS Низкий

Описание

Уязвимость библиотеки Jackson-databind связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Red Hat Inc.
FasterXML, LLC

Наименование ПО

Debian GNU/Linux
Astra Linux Common Edition
OpenShift Container Platform
Red Hat Virtualization
Jackson-databind

Версия ПО

9 (Debian GNU/Linux)
2.12 «Орёл» (Astra Linux Common Edition)
4.1 (OpenShift Container Platform)
4.0 (Red Hat Virtualization)
8 (Debian GNU/Linux)
3.11 (OpenShift Container Platform)
до 2.7.9.5 (Jackson-databind)
от 2.8.0 до 2.8.11 включительно (Jackson-databind)
от 2.9.0 до 2.9.3 включительно (Jackson-databind)

Тип ПО

Операционная система
Прикладное ПО информационных систем
ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Сообщество свободного программного обеспечения Debian GNU/Linux 8

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Jackson-databind:
https://github.com/FasterXML/jackson-databind/commit/038b471e2efde2e8f96b4e0be958d3e5a1ff1d05
https://github.com/FasterXML/jackson-databind/issues/1899
Для Debian GNU/Linux:
https://www.debian.org/security/2018/dsa-4114
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2019:3149
https://access.redhat.com/errata/RHSA-2019:2858
https://access.redhat.com/errata/RHSA-2018:1525
Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.9.8-3+deb10u1 или более поздней версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 82%
0.01738
Низкий

8.1 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-5968

CVSS3: 8.1
ubuntu
около 8 лет назад

FasterXML jackson-databind through 2.8.11 and 2.9.x through 2.9.3 allows unauthenticated remote code execution because of an incomplete fix for the CVE-2017-7525 and CVE-2017-17485 deserialization flaws. This is exploitable via two different gadgets that bypass a blacklist.

redhat логотип

CVE-2018-5968

CVSS3: 8.1
redhat
около 8 лет назад

FasterXML jackson-databind through 2.8.11 and 2.9.x through 2.9.3 allows unauthenticated remote code execution because of an incomplete fix for the CVE-2017-7525 and CVE-2017-17485 deserialization flaws. This is exploitable via two different gadgets that bypass a blacklist.

nvd логотип

CVE-2018-5968

CVSS3: 8.1
nvd
около 8 лет назад

FasterXML jackson-databind through 2.8.11 and 2.9.x through 2.9.3 allows unauthenticated remote code execution because of an incomplete fix for the CVE-2017-7525 and CVE-2017-17485 deserialization flaws. This is exploitable via two different gadgets that bypass a blacklist.

debian логотип

CVE-2018-5968

CVSS3: 8.1
debian
около 8 лет назад

FasterXML jackson-databind through 2.8.11 and 2.9.x through 2.9.3 allo ...

github логотип

GHSA-w3f4-3q6j-rh82

CVSS3: 8.1
github
больше 5 лет назад

Deserialization of Untrusted Data in jackson-databind

EPSS

Процентиль: 82%
0.01738
Низкий

8.1 High

CVSS3

7.6 High

CVSS2