Описание
Уязвимость компонента xbean-reflect/JNDI библиотеки Jackson-databind связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Вендор
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Red Hat Inc.
Oracle Corp.
FasterXML, LLC
Huawei Technologies Co., Ltd.
АО «НТЦ ИТ РОСА»
АО «Концерн ВНИИНС»
Наименование ПО
Debian GNU/Linux
Astra Linux Common Edition
Red Hat Enterprise Linux
OpenShift Container Platform
Jboss Fuse
Red Hat Software Collections
JBoss Enterprise Application Platform
Red Hat Single Sign-On
JBoss Enterprise Application Platform Continuous Delivery
JBoss A-MQ
Red Hat Descision Manager
Red Hat OpenStack Platform
Oracle Global Lifecycle Management OPatch
JBoss EAP
Red Hat Process Automation
Red Hat Satellite
JBoss Data Grid
Jackson-databind
OceanStor 9000
РОСА ХРОМ
ОС ОН «Стрелец»
Версия ПО
8.0 (Debian GNU/Linux)
2.12 «Орёл» (Astra Linux Common Edition)
8 (Red Hat Enterprise Linux)
3.11 (OpenShift Container Platform)
7 (Jboss Fuse)
- (Red Hat Software Collections)
7 (JBoss Enterprise Application Platform)
7 (Red Hat Single Sign-On)
- (JBoss Enterprise Application Platform Continuous Delivery)
6.0 (JBoss A-MQ)
7.2 for RHEL 6 (JBoss Enterprise Application Platform)
7.2 for RHEL 7 (JBoss Enterprise Application Platform)
7.2 for RHEL 8 (JBoss Enterprise Application Platform)
7 (Red Hat Descision Manager)
10.0 (Newton) (Red Hat OpenStack Platform)
13.0 (Queens) (Red Hat OpenStack Platform)
4 (OpenShift Container Platform)
от 11.2.0.0.0 до 11.2.0.3.23 (Oracle Global Lifecycle Management OPatch)
от 12.2.0.0.0 до 12.2.0.1.19 (Oracle Global Lifecycle Management OPatch)
от 13.9.0.0.0 до 13.9.4.2.1 (Oracle Global Lifecycle Management OPatch)
6 (Jboss Fuse)
7.3 for RHEL 6 (JBoss Enterprise Application Platform)
7.3 for RHEL 7 (JBoss Enterprise Application Platform)
7.3 for RHEL 8 (JBoss Enterprise Application Platform)
7 (JBoss EAP)
7 (Red Hat Process Automation)
6.6 for RHEL 7 (Red Hat Satellite)
6.7 for RHEL 7 (Red Hat Satellite)
7.3 (JBoss Data Grid)
6.7 for RHEL 8 (Red Hat Satellite)
от 2.0.0 до 2.9.10.2 включительно (Jackson-databind)
от 2.7.0 до 2.7.9.7 (Jackson-databind)
от 2.8.0 до 2.8.11.5 (Jackson-databind)
V300R006C20 (OceanStor 9000)
V300R006C20SPC100 (OceanStor 9000)
V300R006C20SPC200 (OceanStor 9000)
V300R006C20SPC300 (OceanStor 9000)
12.4 (РОСА ХРОМ)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Сетевое программное средство
ПО программно-аппаратного средства
Микропрограммный код
Операционные системы и аппаратные платформы
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Red Hat Inc. Red Hat Enterprise Linux 8
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Jackson-databind:
Обновление программного обеспечения до 2.12.1-1 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии
Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-8840
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpuapr2020.html
Для программных продуктов Huawei Technologies Co., Ltd.:
https://www.huawei.com/en/psirt/security-advisories/huawei-sa-20200610-01-fastjason-en
Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 92%
0.08164
Низкий
7.5 High
CVSS3
7.5 High
CVSS2
Связанные уязвимости
CVSS3: 9.8
ubuntu
больше 5 лет назад
FasterXML jackson-databind 2.0.0 through 2.9.10.2 lacks certain xbean-reflect/JNDI blocking, as demonstrated by org.apache.xbean.propertyeditor.JndiConverter.
CVSS3: 8.1
redhat
больше 5 лет назад
FasterXML jackson-databind 2.0.0 through 2.9.10.2 lacks certain xbean-reflect/JNDI blocking, as demonstrated by org.apache.xbean.propertyeditor.JndiConverter.
CVSS3: 9.8
nvd
больше 5 лет назад
FasterXML jackson-databind 2.0.0 through 2.9.10.2 lacks certain xbean-reflect/JNDI blocking, as demonstrated by org.apache.xbean.propertyeditor.JndiConverter.
CVSS3: 9.8
debian
больше 5 лет назад
FasterXML jackson-databind 2.0.0 through 2.9.10.2 lacks certain xbean- ...
CVSS3: 9.8
github
больше 5 лет назад
Deserialization of Untrusted Data in jackson-databind
EPSS
Процентиль: 92%
0.08164
Низкий
7.5 High
CVSS3
7.5 High
CVSS2