BDU:2020-03618

Опубликовано: 01 мар. 2020

Источник: fstec

CVSS3: 9.8

CVSS2: 9.3

EPSS Низкий

Описание

Уязвимость компонента org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Oracle Corp.

Сообщество свободного программного обеспечения

ООО «РусБИТех-Астра»

Red Hat Inc.

FasterXML, LLC

АО «НТЦ ИТ РОСА»

АО «Концерн ВНИИНС»

Наименование ПО

Primavera Unifier

WebCenter Portal

Debian GNU/Linux

WebLogic Server

Oracle Retail Customer Management and Segmentation Foundation

Oracle Retail Merchandising System

Astra Linux Common Edition

Red Hat Enterprise Linux

Database Server

Jboss Fuse

Retail Xstore Point of Service

OpenShift Application Runtimes

Red Hat Single Sign-On

Red Hat Process Automation Manager

JBoss Enterprise Application Platform Continuous Delivery

Enterprise Manager Base Platform

Red Hat Descision Manager

Financial Services Price Creation and Discovery

Oracle Agile PLM

Red Hat JBoss Data Grid

JBoss Enterprise Application Platform

JBoss EAP

Oracle Retail Service Backbone

Financial Services Analytical Applications Infrastructure

Oracle Banking Platform

Communications Instant Messaging Server

Siebel UI Framework

Jackson-databind

Oracle Global Lifecycle Management OPatch

Oracle Communications Contacts Server

Oracle Communications Evolved Communications Application Server

Communications Network Charging and Control

JD Edwards EnterpriseOne Orchestrator

JD Edwards EnterpriseOne Tools

Communications Billing and Revenue Management

Oracle Retail Sales Audit

Siebel Engineering - Installer & Deployment

GoldenGate Stream Analytics

Communications Diameter Signaling Router

Oracle Communications Element Manager

Financial Services Institutional Performance Analytics

Financial Services Retail Customer Analytics

Insurance Policy Administration J2EE

Communications Calendar Server

РОСА ХРОМ

ОС ОН «Стрелец»

Версия ПО

16.2 (Primavera Unifier)

16.1 (Primavera Unifier)

12.2.1.3.0 (WebCenter Portal)

8.0 (Debian GNU/Linux)

12.2.1.3.0 (WebLogic Server)

18.0 (Oracle Retail Customer Management and Segmentation Foundation)

15.0 (Oracle Retail Merchandising System)

2.12 «Орёл» (Astra Linux Common Edition)

8 (Red Hat Enterprise Linux)

12.2.0.1 (Database Server)

18c (Database Server)

19c (Database Server)

7 (Jboss Fuse)

18.8 (Primavera Unifier)

15.0 (Retail Xstore Point of Service)

16.0 (Retail Xstore Point of Service)

17.0 (Retail Xstore Point of Service)

18.0 (Retail Xstore Point of Service)

1.0 (OpenShift Application Runtimes)

19.0.0 (Retail Xstore Point of Service)

7 (Red Hat Single Sign-On)

7 (Red Hat Process Automation Manager)

- (JBoss Enterprise Application Platform Continuous Delivery)

12.2.1.4.0 (WebLogic Server)

13.3.0.0 (Enterprise Manager Base Platform)

7 (Red Hat Descision Manager)

19.12 (Primavera Unifier)

от 17.7 до 17.12 включительно (Primavera Unifier)

12.2.1.4.0 (WebCenter Portal)

8.0.7 (Financial Services Price Creation and Discovery)

9.3.6 (Oracle Agile PLM)

7 (Red Hat JBoss Data Grid)

7.3 for RHEL 6 (JBoss Enterprise Application Platform)

7.3 for RHEL 7 (JBoss Enterprise Application Platform)

7.3 for RHEL 8 (JBoss Enterprise Application Platform)

7 (JBoss EAP)

15.0 (Oracle Retail Service Backbone)

16.0 (Oracle Retail Service Backbone)

13.4.0.0 (Enterprise Manager Base Platform)

от 8.0.6 до 8.1.0 включительно (Financial Services Analytical Applications Infrastructure)

от 2.4.0 до 2.9.0 включительно (Oracle Banking Platform)

10.0.1.4.0 (Communications Instant Messaging Server)

до 20.5 включительно (Siebel UI Framework)

от 2.0 до 2.9.10.4 (Jackson-databind)

до 12.2.0.1.20 (Oracle Global Lifecycle Management OPatch)

8.0.0.4.0 (Oracle Communications Contacts Server)

7.1 (Oracle Communications Evolved Communications Application Server)

6.0.1 (Communications Network Charging and Control)

от 12.0.0 до 12.0.3 включительно (Communications Network Charging and Control)

до 9.2.4.2 (JD Edwards EnterpriseOne Orchestrator)

до 9.2.4.2 (JD Edwards EnterpriseOne Tools)

7.5.0.23.0 (Communications Billing and Revenue Management)

12.0.0.3.0 (Communications Billing and Revenue Management)

15.0.3 (Oracle Retail Merchandising System)

16.0.2 (Oracle Retail Merchandising System)

16.0.3 (Oracle Retail Merchandising System)

14.1 (Oracle Retail Sales Audit)

до 2.20.5 включительно (Siebel Engineering - Installer & Deployment)

до 19.1.0.0.1 (GoldenGate Stream Analytics)

14.1 (Oracle Retail Service Backbone)

от 8.0.0 до 8.2.2 включительно (Communications Diameter Signaling Router)

от 8.2.0 до 8.2.2 включительно (Oracle Communications Element Manager)

8.0.6 (Financial Services Institutional Performance Analytics)

8.7.0 (Financial Services Institutional Performance Analytics)

8.1.0 (Financial Services Institutional Performance Analytics)

8.0.6 (Financial Services Price Creation and Discovery)

8.0.6 (Financial Services Retail Customer Analytics)

11.0.2.25 (Insurance Policy Administration J2EE)

11.1.0.15 (Insurance Policy Administration J2EE)

8.0.0.4.0 (Communications Calendar Server)

8.0.0.5.0 (Oracle Communications Contacts Server)

12.4 (РОСА ХРОМ)

до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Прикладное ПО информационных систем

Сетевое программное средство

Операционная система

СУБД

Сетевое средство

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 8.0

ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»

Red Hat Inc. Red Hat Enterprise Linux 8

АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для jackson-databind:

https://github.com/FasterXML/jackson-databind/issues/2631

Для программных продуктов Oracle Corp.:

https://www.oracle.com/security-alerts/cpujul2020.html

https://www.oracle.com/security-alerts/cpuoct2020.html

https://www.oracle.com/security-alerts/cpujan2021.html

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2020-9546

Для Debian GNU/Linux:

https://lists.debian.org/debian-lts-announce/2020/03/msg00008.html

Для Astra Linux:

Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии

Для ОС ОН «Стрелец»:

Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-9546
CVE

EPSS

Процентиль: 84%

0.02206

Низкий

9.8 Critical

CVSS3

9.3 Critical

CVSS2

Связанные уязвимости

ROS-20250625-02

CVSS3: 9.8

redos

25 дней назад

Множественные уязвимости jackson-databind

CVE-2020-9546

CVSS3: 9.8

ubuntu

больше 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and typing, related to org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig (aka shaded hikari-config).

CVE-2020-9546

CVSS3: 8.1

redhat

больше 5 лет назад

CVE-2020-9546

CVSS3: 9.8

nvd

больше 5 лет назад

CVE-2020-9546

CVSS3: 9.8

debian

больше 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interact ...

EPSS

Процентиль: 84%

0.02206

Низкий

9.8 Critical

CVSS3

9.3 Critical

CVSS2