Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-03617

Опубликовано: 01 мар. 2020
Источник: fstec
CVSS3: 9.8
CVSS2: 9.3
EPSS Низкий

Описание

Уязвимость компонента com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Oracle Corp.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Red Hat Inc.
FasterXML, LLC
АО «НТЦ ИТ РОСА»
АО «Концерн ВНИИНС»

Наименование ПО

Primavera Unifier
WebCenter Portal
Debian GNU/Linux
WebLogic Server
Oracle Retail Customer Management and Segmentation Foundation
Oracle Retail Merchandising System
Astra Linux Common Edition
Red Hat Enterprise Linux
Database Server
Jboss Fuse
Retail Xstore Point of Service
OpenShift Application Runtimes
Red Hat Single Sign-On
Red Hat Process Automation Manager
JBoss Enterprise Application Platform Continuous Delivery
Enterprise Manager Base Platform
Red Hat Descision Manager
Oracle Agile PLM
Red Hat JBoss Data Grid
JBoss Enterprise Application Platform
JBoss EAP
Oracle Banking Platform
Communications Instant Messaging Server
Siebel UI Framework
Jackson-databind
Oracle Global Lifecycle Management OPatch
Oracle Communications Contacts Server
Oracle Communications Evolved Communications Application Server
Communications Network Charging and Control
JD Edwards EnterpriseOne Orchestrator
JD Edwards EnterpriseOne Tools
Communications Billing and Revenue Management
Oracle Retail Sales Audit
Siebel Engineering - Installer & Deployment
GoldenGate Stream Analytics
Communications Diameter Signaling Router
Communications Calendar Server
РОСА ХРОМ
ОС ОН «Стрелец»

Версия ПО

16.2 (Primavera Unifier)
16.1 (Primavera Unifier)
12.2.1.3.0 (WebCenter Portal)
8.0 (Debian GNU/Linux)
12.2.1.3.0 (WebLogic Server)
18.0 (Oracle Retail Customer Management and Segmentation Foundation)
15.0 (Oracle Retail Merchandising System)
2.12 «Орёл» (Astra Linux Common Edition)
8 (Red Hat Enterprise Linux)
12.2.0.1 (Database Server)
18c (Database Server)
19c (Database Server)
7 (Jboss Fuse)
18.8 (Primavera Unifier)
15.0 (Retail Xstore Point of Service)
16.0 (Retail Xstore Point of Service)
17.0 (Retail Xstore Point of Service)
18.0 (Retail Xstore Point of Service)
1.0 (OpenShift Application Runtimes)
19.0.0 (Retail Xstore Point of Service)
7 (Red Hat Single Sign-On)
7 (Red Hat Process Automation Manager)
- (JBoss Enterprise Application Platform Continuous Delivery)
12.2.1.4.0 (WebLogic Server)
13.3.0.0 (Enterprise Manager Base Platform)
7 (Red Hat Descision Manager)
19.12 (Primavera Unifier)
от 17.7 до 17.12 включительно (Primavera Unifier)
12.2.1.4.0 (WebCenter Portal)
9.3.6 (Oracle Agile PLM)
7 (Red Hat JBoss Data Grid)
7.3 for RHEL 6 (JBoss Enterprise Application Platform)
7.3 for RHEL 7 (JBoss Enterprise Application Platform)
7.3 for RHEL 8 (JBoss Enterprise Application Platform)
7 (JBoss EAP)
13.4.0.0 (Enterprise Manager Base Platform)
от 2.4.0 до 2.9.0 включительно (Oracle Banking Platform)
10.0.1.4.0 (Communications Instant Messaging Server)
до 20.5 включительно (Siebel UI Framework)
от 2.0 до 2.9.10.4 (Jackson-databind)
до 12.2.0.1.20 (Oracle Global Lifecycle Management OPatch)
8.0.0.4.0 (Oracle Communications Contacts Server)
7.1 (Oracle Communications Evolved Communications Application Server)
6.0.1 (Communications Network Charging and Control)
от 12.0.0 до 12.0.3 включительно (Communications Network Charging and Control)
до 9.2.4.2 (JD Edwards EnterpriseOne Orchestrator)
до 9.2.4.2 (JD Edwards EnterpriseOne Tools)
7.5.0.23.0 (Communications Billing and Revenue Management)
12.0.0.3.0 (Communications Billing and Revenue Management)
15.0.3 (Oracle Retail Merchandising System)
16.0.2 (Oracle Retail Merchandising System)
16.0.3 (Oracle Retail Merchandising System)
14.1 (Oracle Retail Sales Audit)
до 2.20.5 включительно (Siebel Engineering - Installer & Deployment)
до 19.1.0.0.1 (GoldenGate Stream Analytics)
от 8.0.0 до 8.2.2 включительно (Communications Diameter Signaling Router)
8.0.0.4.0 (Communications Calendar Server)
8.0.0.5.0 (Oracle Communications Contacts Server)
12.4 (РОСА ХРОМ)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Прикладное ПО информационных систем
Сетевое программное средство
Операционная система
СУБД
Сетевое средство
ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Red Hat Inc. Red Hat Enterprise Linux 8
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для jackson-databind:
https://github.com/FasterXML/jackson-databind/issues/2634
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-9547
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/03/msg00008.html
Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии
Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 90%
0.06229
Низкий

9.8 Critical

CVSS3

9.3 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-9547

CVSS3: 9.8
ubuntu
больше 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and typing, related to com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig (aka ibatis-sqlmap).

redhat логотип

CVE-2020-9547

CVSS3: 8.1
redhat
больше 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and typing, related to com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig (aka ibatis-sqlmap).

nvd логотип

CVE-2020-9547

CVSS3: 9.8
nvd
больше 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and typing, related to com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig (aka ibatis-sqlmap).

debian логотип

CVE-2020-9547

CVSS3: 9.8
debian
больше 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interact ...

github логотип

GHSA-q93h-jc49-78gg

CVSS3: 9.8
github
около 5 лет назад

jackson-databind mishandles the interaction between serialization gadgets and typing

EPSS

Процентиль: 90%
0.06229
Низкий

9.8 Critical

CVSS3

9.3 Critical

CVSS2