Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-02242

Опубликовано: 19 окт. 2019
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость библиотеки Jackson-databind связана с восстановлением недостоверных данных в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании

Вендор

Oracle Corp.
ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
FasterXML, LLC
АО «НТЦ ИТ РОСА»
АО «Концерн ВНИИНС»

Наименование ПО

WebCenter Portal
Astra Linux Common Edition
Debian GNU/Linux
Retail Customer Management and Segmentation Foundation
Oracle Global Lifecycle Management OPatch
Jackson-databind
РОСА ХРОМ
ОС ОН «Стрелец»

Версия ПО

12.2.1.3.0 (WebCenter Portal)
2.12 «Орёл» (Astra Linux Common Edition)
8 (Debian GNU/Linux)
18.0 (Retail Customer Management and Segmentation Foundation)
12.2.1.4.0 (WebCenter Portal)
от 11.2.0.0.0 до 11.2.0.3.23 (Oracle Global Lifecycle Management OPatch)
от 12.2.0.0.0 до 12.2.0.1.19 (Oracle Global Lifecycle Management OPatch)
от 13.9.0.0.0 до 13.9.4.2.1 (Oracle Global Lifecycle Management OPatch)
от 2.0.0 до 2.9.10.2 (Jackson-databind)
12.4 (РОСА ХРОМ)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Сетевое программное средство
Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Сообщество свободного программного обеспечения Debian GNU/Linux 8
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Jackson-databind:
https://github.com/FasterXML/jackson-databind/compare/jackson-databind-2.9.10.1...jackson-databind-2.9.10.2
https://github.com/FasterXML/jackson-databind/issues/2526
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии
Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 83%
0.01863
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-20330

CVSS3: 9.8
ubuntu
около 6 лет назад

FasterXML jackson-databind 2.x before 2.9.10.2 lacks certain net.sf.ehcache blocking.

redhat логотип

CVE-2019-20330

CVSS3: 8.1
redhat
около 6 лет назад

FasterXML jackson-databind 2.x before 2.9.10.2 lacks certain net.sf.ehcache blocking.

nvd логотип

CVE-2019-20330

CVSS3: 9.8
nvd
около 6 лет назад

FasterXML jackson-databind 2.x before 2.9.10.2 lacks certain net.sf.ehcache blocking.

debian логотип

CVE-2019-20330

CVSS3: 9.8
debian
около 6 лет назад

FasterXML jackson-databind 2.x before 2.9.10.2 lacks certain net.sf.eh ...

github логотип

GHSA-gww7-p5w4-wrfv

CVSS3: 9.8
github
почти 6 лет назад

Deserialization of Untrusted Data in jackson-databind

EPSS

Процентиль: 83%
0.01863
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2