Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-00768

Опубликовано: 31 янв. 2020
Источник: fstec
CVSS3: 8.8
CVSS2: 9.3
EPSS Средний

Описание

Уязвимость компонента org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory библиотеки Jackson-databind проекта FasterXML связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Oracle Corp.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Red Hat Inc.
FasterXML, LLC
АО «НТЦ ИТ РОСА»
АО «Концерн ВНИИНС»

Наименование ПО

Primavera Unifier
Debian GNU/Linux
WebLogic Server
Oracle Retail Merchandising System
Astra Linux Common Edition
Retail Xstore Point of Service
Enterprise Manager Base Platform
Financial Services Price Creation and Discovery
Oracle Agile PLM
Oracle Retail Service Backbone
CodeReady Studio
Financial Services Analytical Applications Infrastructure
Oracle Banking Platform
Communications Instant Messaging Server
Jackson-databind
Oracle Communications Contacts Server
Oracle Communications Evolved Communications Application Server
Communications Network Charging and Control
Oracle Retail Sales Audit
Oracle Global Lifecycle Management OPatch
Communications Diameter Signaling Router
Oracle Communications Element Manager
Oracle Communications Session Report Manager
Oracle Communications Session Route Manager
Financial Services Institutional Performance Analytics
Financial Services Retail Customer Analytics
Insurance Policy Administration J2EE
JD Edwards EnterpriseOne Orchestrator
JD Edwards EnterpriseOne Tools
РОСА ХРОМ
ОС ОН «Стрелец»

Версия ПО

16.2 (Primavera Unifier)
16.1 (Primavera Unifier)
8.0 (Debian GNU/Linux)
12.2.1.3.0 (WebLogic Server)
15.0 (Oracle Retail Merchandising System)
2.12 «Орёл» (Astra Linux Common Edition)
18.8 (Primavera Unifier)
15.0 (Retail Xstore Point of Service)
16.0 (Retail Xstore Point of Service)
17.0 (Retail Xstore Point of Service)
18.0 (Retail Xstore Point of Service)
19.0.0 (Retail Xstore Point of Service)
12.2.1.4.0 (WebLogic Server)
13.3.0.0 (Enterprise Manager Base Platform)
19.12 (Primavera Unifier)
от 17.7 до 17.12 включительно (Primavera Unifier)
8.0.7 (Financial Services Price Creation and Discovery)
9.3.6 (Oracle Agile PLM)
15.0 (Oracle Retail Service Backbone)
16.0 (Oracle Retail Service Backbone)
13.4.0.0 (Enterprise Manager Base Platform)
12 (CodeReady Studio)
от 8.0.6 до 8.1.0 включительно (Financial Services Analytical Applications Infrastructure)
от 2.4.0 до 2.9.0 включительно (Oracle Banking Platform)
10.0.1.4.0 (Communications Instant Messaging Server)
от 2.0 до 2.9.10.4 (Jackson-databind)
8.0.0.4.0 (Oracle Communications Contacts Server)
7.1 (Oracle Communications Evolved Communications Application Server)
6.0.1 (Communications Network Charging and Control)
от 12.0.0 до 12.0.3 включительно (Communications Network Charging and Control)
14.1 (Oracle Retail Sales Audit)
14.1 (Oracle Retail Service Backbone)
до 12.2.0.1.20 включительно (Oracle Global Lifecycle Management OPatch)
от 8.0.0 до 8.2.2 включительно (Communications Diameter Signaling Router)
от 8.2.0 до 8.2.2 включительно (Oracle Communications Element Manager)
от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Report Manager)
от 8.2.0 до 8.2.2 включительно (Oracle Communications Session Route Manager)
8.0.6 (Financial Services Institutional Performance Analytics)
8.7.0 (Financial Services Institutional Performance Analytics)
8.1.0 (Financial Services Institutional Performance Analytics)
8.0.6 (Financial Services Price Creation and Discovery)
8.0.6 (Financial Services Retail Customer Analytics)
11.0.2.25 (Insurance Policy Administration J2EE)
11.1.0.15 (Insurance Policy Administration J2EE)
до 9.2.4.2 включительно (JD Edwards EnterpriseOne Orchestrator)
до 9.2.4.2 включительно (JD Edwards EnterpriseOne Tools)
12.4 (РОСА ХРОМ)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Прикладное ПО информационных систем
Операционная система
Сетевое программное средство
ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
Для Jackson-databind:
https://github.com/FasterXML/jackson-databind/issues/2659
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/03/msg00027.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-10672
Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии
Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 97%
0.4007
Средний

8.8 High

CVSS3

9.3 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-10672

CVSS3: 8.8
ubuntu
больше 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and typing, related to org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory (aka aries.transaction.jms).

redhat логотип

CVE-2020-10672

CVSS3: 8.1
redhat
больше 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and typing, related to org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory (aka aries.transaction.jms).

nvd логотип

CVE-2020-10672

CVSS3: 8.8
nvd
больше 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and typing, related to org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory (aka aries.transaction.jms).

debian логотип

CVE-2020-10672

CVSS3: 8.8
debian
больше 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interact ...

github логотип

GHSA-95cm-88f5-f2c7

CVSS3: 8.8
github
около 5 лет назад

jackson-databind mishandles the interaction between serialization gadgets and typing

EPSS

Процентиль: 97%
0.4007
Средний

8.8 High

CVSS3

9.3 Critical

CVSS2