Описание
Уязвимость компонента org.apache.activemq библиотеки Jackson-databind проекта FasterXML связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Вендор
Oracle Corp.
ООО «РусБИТех-Астра»
Red Hat Inc.
Сообщество свободного программного обеспечения
FasterXML, LLC
АО «НТЦ ИТ РОСА»
АО «Концерн ВНИИНС»
Наименование ПО
Primavera Unifier
WebLogic Server
Oracle Retail Merchandising System
Astra Linux Common Edition
Red Hat Enterprise Linux
Debian GNU/Linux
Retail Xstore Point of Service
Enterprise Manager Base Platform
Financial Services Price Creation and Discovery
Oracle Agile PLM
Oracle Retail Service Backbone
Financial Services Analytical Applications Infrastructure
Oracle Banking Platform
Communications Instant Messaging Server
Jackson-databind
Oracle Communications Contacts Server
Oracle Communications Evolved Communications Application Server
Communications Network Charging and Control
Oracle Retail Sales Audit
Oracle Global Lifecycle Management OPatch
Communications Diameter Signaling Router
Oracle Communications Element Manager
Oracle Communications Session Report Manager
Oracle Communications Session Route Manager
Financial Services Institutional Performance Analytics
Financial Services Retail Customer Analytics
Insurance Policy Administration J2EE
JD Edwards EnterpriseOne Orchestrator
JD Edwards EnterpriseOne Tools
РОСА ХРОМ
ОС ОН «Стрелец»
Версия ПО
16.2 (Primavera Unifier)
16.1 (Primavera Unifier)
12.2.1.3.0 (WebLogic Server)
15.0 (Oracle Retail Merchandising System)
2.12 «Орёл» (Astra Linux Common Edition)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
18.8 (Primavera Unifier)
15.0 (Retail Xstore Point of Service)
16.0 (Retail Xstore Point of Service)
17.0 (Retail Xstore Point of Service)
18.0 (Retail Xstore Point of Service)
19.0.0 (Retail Xstore Point of Service)
12.2.1.4.0 (WebLogic Server)
13.3.0.0 (Enterprise Manager Base Platform)
19.12 (Primavera Unifier)
от 17.7 до 17.12 включительно (Primavera Unifier)
8.0.7 (Financial Services Price Creation and Discovery)
9.3.6 (Oracle Agile PLM)
15.0 (Oracle Retail Service Backbone)
16.0 (Oracle Retail Service Backbone)
13.4.0.0 (Enterprise Manager Base Platform)
от 8.0.6 до 8.1.0 включительно (Financial Services Analytical Applications Infrastructure)
от 2.4.0 до 2.9.0 включительно (Oracle Banking Platform)
10.0.1.4.0 (Communications Instant Messaging Server)
от 2.0 до 2.9.10.4 (Jackson-databind)
8.0.0.4.0 (Oracle Communications Contacts Server)
7.1 (Oracle Communications Evolved Communications Application Server)
6.0.1 (Communications Network Charging and Control)
от 12.0.0 до 12.0.3 включительно (Communications Network Charging and Control)
14.1 (Oracle Retail Sales Audit)
14.1 (Oracle Retail Service Backbone)
до 12.2.0.1.20 включительно (Oracle Global Lifecycle Management OPatch)
от 8.0.0 до 8.2.2 включительно (Communications Diameter Signaling Router)
от 8.2.0 до 8.2.2 включительно (Oracle Communications Element Manager)
от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Report Manager)
от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Route Manager)
8.0.6 (Financial Services Institutional Performance Analytics)
8.7.0 (Financial Services Institutional Performance Analytics)
8.1.0 (Financial Services Institutional Performance Analytics)
8.0.6 (Financial Services Price Creation and Discovery)
8.0.6 (Financial Services Retail Customer Analytics)
11.0.2.25 (Insurance Policy Administration J2EE)
11.1.0.15 (Insurance Policy Administration J2EE)
до 9.2.4.2 включительно (JD Edwards EnterpriseOne Orchestrator)
до 9.2.4.2 включительно (JD Edwards EnterpriseOne Tools)
12.4 (РОСА ХРОМ)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Прикладное ПО информационных систем
Сетевое программное средство
Операционная система
ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Использование рекомендаций производителя:
Для Jackson-databind:
https://github.com/FasterXML/jackson-databind/issues/2664
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/04/msg00012.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-11111
Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии
Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 84%
0.02196
Низкий
8.8 High
CVSS3
9.3 Critical
CVSS2
Связанные уязвимости
CVSS3: 8.8
ubuntu
почти 6 лет назад
FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and typing, related to org.apache.activemq.* (aka activemq-jms, activemq-core, activemq-pool, and activemq-pool-jms).
CVSS3: 8.1
redhat
почти 6 лет назад
FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and typing, related to org.apache.activemq.* (aka activemq-jms, activemq-core, activemq-pool, and activemq-pool-jms).
CVSS3: 8.8
nvd
почти 6 лет назад
FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and typing, related to org.apache.activemq.* (aka activemq-jms, activemq-core, activemq-pool, and activemq-pool-jms).
CVSS3: 8.8
debian
почти 6 лет назад
FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interact ...
CVSS3: 8.8
github
больше 5 лет назад
jackson-databind mishandles the interaction between serialization gadgets and typing
EPSS
Процентиль: 84%
0.02196
Низкий
8.8 High
CVSS3
9.3 Critical
CVSS2