Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-08464

Опубликовано: 18 фев. 2021
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость пакета com.fasterxml.jackson.dataformat:jackson-dataformat-cbor библиотеки jackson-dataformats-binary связана с выделением неограниченной памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Canonical Ltd.
Oracle Corp.
Red Hat Inc.
Сообщество свободного программного обеспечения
Novell Inc.
FasterXML, LLC
SonarSource

Наименование ПО

Ubuntu
WebLogic Server
OpenShift Container Platform
Debian GNU/Linux
OpenShift Application Runtimes
openSUSE Tumbleweed
Red Hat Single Sign-On
SUSE Linux Enterprise Module for Basesystem
Red Hat Integration Camel Quarkus
OpenShift Logging
OpenSUSE Leap
SUSE Linux Enterprise High Performance Computing
Suse Linux Enterprise Server
SUSE Linux Enterprise Server for SAP Applications
SUSE Manager Proxy
SUSE Manager Server
Suse Linux Enterprise Desktop
SUSE Enterprise Storage
SUSE Linux Enterprise Module for Development Tools
SUSE Manager Retail Branch Server
Red Hat Integration
SUSE Linux Enterprise Real Time
jackson-dataformats-binary
Quarkus
Red Hat build of Quarkus
Red Hat Fuse
Red Hat Descision Manager
Red Hat Process Automation Manager
SonarQube

Версия ПО

16.04 LTS (Ubuntu)
18.04 LTS (Ubuntu)
12.2.1.3.0 (WebLogic Server)
3.11 (OpenShift Container Platform)
10 (Debian GNU/Linux)
- (OpenShift Application Runtimes)
12.2.1.4.0 (WebLogic Server)
- (openSUSE Tumbleweed)
4 (OpenShift Container Platform)
20.04 LTS (Ubuntu)
14.1.1.0.0 (WebLogic Server)
7.4 for RHEL 6 (Red Hat Single Sign-On)
7.4 for RHEL 7 (Red Hat Single Sign-On)
7.4 for RHEL 8 (Red Hat Single Sign-On)
15 SP3 (SUSE Linux Enterprise Module for Basesystem)
- (Red Hat Integration Camel Quarkus)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
5.1 (OpenShift Logging)
5.2 (OpenShift Logging)
5.3 (OpenShift Logging)
15.4 (OpenSUSE Leap)
15 SP3 (SUSE Linux Enterprise High Performance Computing)
15 SP3 (Suse Linux Enterprise Server)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
4.2 (SUSE Manager Proxy)
4.2 (SUSE Manager Server)
15 SP3 (Suse Linux Enterprise Desktop)
7 (SUSE Enterprise Storage)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
4.1 (SUSE Manager Server)
4.1 (SUSE Manager Proxy)
15 SP2-ESPOS (SUSE Linux Enterprise High Performance Computing)
15 SP2-LTSS (SUSE Linux Enterprise High Performance Computing)
15 SP3 (SUSE Linux Enterprise Module for Development Tools)
4.1 (SUSE Manager Retail Branch Server)
15 SP4 (Suse Linux Enterprise Server)
15 SP4 (Suse Linux Enterprise Desktop)
15 SP2-BCL (Suse Linux Enterprise Server)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
4.2 (SUSE Manager Retail Branch Server)
22.04 LTS (Ubuntu)
- (Red Hat Integration)
15 SP2-LTSS (Suse Linux Enterprise Server)
15 SP2 (SUSE Linux Enterprise Real Time)
4.3 (SUSE Manager Retail Branch Server)
4.3 (SUSE Manager Proxy)
4.3 (SUSE Manager Server)
15 SP4 (SUSE Linux Enterprise High Performance Computing)
7.1 (SUSE Enterprise Storage)
15 SP4 (SUSE Linux Enterprise Module for Development Tools)
15 SP5 (SUSE Linux Enterprise Server for SAP Applications)
15 SP5 (Suse Linux Enterprise Server)
15 SP5 (Suse Linux Enterprise Desktop)
15 SP5 (SUSE Linux Enterprise High Performance Computing)
15 SP5 (SUSE Linux Enterprise Module for Basesystem)
15 SP5 (SUSE Linux Enterprise Module for Development Tools)
23.04 (Ubuntu)
23.10 (Ubuntu)
до 2.11.4 (jackson-dataformats-binary)
от 2.12.0 до 2.12.1 (jackson-dataformats-binary)
до 2.0.2 (Quarkus)
2.2.3 (Red Hat build of Quarkus)
7.10 (Red Hat Fuse)
7.4.9 (Red Hat Single Sign-On)
7.12.0 (Red Hat Descision Manager)
7.12.0 (Red Hat Process Automation Manager)
9.3.3 (SonarQube)

Тип ПО

Операционная система
Сетевое программное средство
Прикладное ПО информационных систем
Сетевое средство

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.04 LTS
Canonical Ltd. Ubuntu 18.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. openSUSE Tumbleweed -
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
Novell Inc. OpenSUSE Leap 15.4
Novell Inc. Suse Linux Enterprise Server 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. Suse Linux Enterprise Desktop 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
Novell Inc. Suse Linux Enterprise Server 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Canonical Ltd. Ubuntu 22.04 LTS
Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS
Novell Inc. SUSE Linux Enterprise Real Time 15 SP2
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5
Novell Inc. Suse Linux Enterprise Server 15 SP5
Novell Inc. Suse Linux Enterprise Desktop 15 SP5
Canonical Ltd. Ubuntu 23.04
Canonical Ltd. Ubuntu 23.10

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-28491
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2020-28491
Для Ubuntu:
https://ubuntu.com/security/CVE-2020-28491
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-28491.html
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2022.html
Для woodstox:
Обновление программного обеспечения до версий 6.4.0, 5.4.0 и выше
Для программных продуктов SonarSource:
Компенсирующие меры:
- использование антивирусных средств защиты для отслеживания попыток эксплуатации уязвимости;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 60%
0.0039
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-28491

CVSS3: 7.5
ubuntu
почти 5 лет назад

This affects the package com.fasterxml.jackson.dataformat:jackson-dataformat-cbor from 0 and before 2.11.4, from 2.12.0-rc1 and before 2.12.1. Unchecked allocation of byte buffer can cause a java.lang.OutOfMemoryError exception.

redhat логотип

CVE-2020-28491

CVSS3: 7.5
redhat
почти 5 лет назад

This affects the package com.fasterxml.jackson.dataformat:jackson-dataformat-cbor from 0 and before 2.11.4, from 2.12.0-rc1 and before 2.12.1. Unchecked allocation of byte buffer can cause a java.lang.OutOfMemoryError exception.

nvd логотип

CVE-2020-28491

CVSS3: 7.5
nvd
почти 5 лет назад

This affects the package com.fasterxml.jackson.dataformat:jackson-dataformat-cbor from 0 and before 2.11.4, from 2.12.0-rc1 and before 2.12.1. Unchecked allocation of byte buffer can cause a java.lang.OutOfMemoryError exception.

debian логотип

CVE-2020-28491

CVSS3: 7.5
debian
почти 5 лет назад

This affects the package com.fasterxml.jackson.dataformat:jackson-data ...

github логотип

GHSA-xmc8-26q4-qjhx

CVSS3: 7.5
github
около 4 лет назад

Denial of Service (DoS) in Jackson Dataformat CBOR

EPSS

Процентиль: 60%
0.0039
Низкий

7.5 High

CVSS3

7.8 High

CVSS2