Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-00088

Опубликовано: 20 дек. 2021
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость библиотеки jackson-databind связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
FasterXML, LLC

Наименование ПО

Red Hat Enterprise Linux
Red Hat JBoss Fuse
Debian GNU/Linux
OpenShift Application Runtimes
Red Hat OpenStack Platform
Red Hat JBoss Data Virtualization
Red Hat JBoss Data Grid
JBoss Enterprise Application Platform
Red Hat Integration Camel K
Red Hat Integration Camel Quarkus
Red Hat Data Grid
Red Hat JBoss Fuse Service Works
Red Hat OpenShift Container Platform
Red Hat Integration Change Data Capture
Red Hat AMQ Online
Decision Manager
Cryostat
Red Hat JBoss Enterprise Application Platform
Red Hat Satellite
Migration Toolkit for Runtimes
Red Hat OpenShift Dev Spaces
Red Hat Integration Service Registry
OpenShift Developer Tools and Services for OCP
Red Hat AMQ Streams
Jackson-databind
Red Hat Single Sign-On
Red Hat support for Spring Boot
Red Hat Integration Camel for Spring Boot

Версия ПО

8 (Red Hat Enterprise Linux)
7 (Red Hat JBoss Fuse)
10 (Debian GNU/Linux)
- (OpenShift Application Runtimes)
6 (Red Hat JBoss Fuse)
13.0 (Queens) (Red Hat OpenStack Platform)
6 (Red Hat JBoss Data Virtualization)
7 (Red Hat JBoss Data Grid)
6 (JBoss Enterprise Application Platform)
- (Red Hat Integration Camel K)
- (Red Hat Integration Camel Quarkus)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
8 (Red Hat Data Grid)
6 (Red Hat JBoss Fuse Service Works)
3.11 (Red Hat OpenShift Container Platform)
4 (Red Hat OpenShift Container Platform)
- (Red Hat Integration Change Data Capture)
9 (Red Hat Enterprise Linux)
- (Red Hat AMQ Online)
7 (Decision Manager)
2 (Cryostat)
7 (Red Hat JBoss Enterprise Application Platform)
6.13 for RHEL 8 (Red Hat Satellite)
1 (Migration Toolkit for Runtimes)
- (Red Hat OpenShift Dev Spaces)
2.4.3 GA (Red Hat Integration Service Registry)
6 (Red Hat JBoss Enterprise Application Platform)
4.13 (OpenShift Developer Tools and Services for OCP)
7.4 for RHEL 8 (Red Hat JBoss Enterprise Application Platform)
7.4 for RHEL 9 (Red Hat JBoss Enterprise Application Platform)
7.4 on RHEL 7 (Red Hat JBoss Enterprise Application Platform)
2.4.0 (Red Hat AMQ Streams)
4.12 (OpenShift Developer Tools and Services for OCP)
от 2.10.0 до 2.12.6 (Jackson-databind)
2.13.0 (Jackson-databind)
7.6.5 (Red Hat Single Sign-On)
2.7.13 (Red Hat support for Spring Boot)
3.18.3.2 (Red Hat Integration Camel for Spring Boot)
2.13.0 rc1 (Jackson-databind)
2.13.0 rc2 (Jackson-databind)

Тип ПО

Операционная система
Прикладное ПО информационных систем
ПО программно-аппаратного средства
Сетевое средство
Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
Red Hat Inc. Red Hat Enterprise Linux 9

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для jackson-databind:
https://groups.google.com/g/jackson-user/c/OsBsirPM_Vw
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-46877
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-46877

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 49%
0.00261
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-46877

CVSS3: 7.5
ubuntu
почти 3 года назад

jackson-databind 2.10.x through 2.12.x before 2.12.6 and 2.13.x before 2.13.1 allows attackers to cause a denial of service (2 GB transient heap usage per read) in uncommon situations involving JsonNode JDK serialization.

redhat логотип

CVE-2021-46877

CVSS3: 7.5
redhat
почти 3 года назад

jackson-databind 2.10.x through 2.12.x before 2.12.6 and 2.13.x before 2.13.1 allows attackers to cause a denial of service (2 GB transient heap usage per read) in uncommon situations involving JsonNode JDK serialization.

nvd логотип

CVE-2021-46877

CVSS3: 7.5
nvd
почти 3 года назад

jackson-databind 2.10.x through 2.12.x before 2.12.6 and 2.13.x before 2.13.1 allows attackers to cause a denial of service (2 GB transient heap usage per read) in uncommon situations involving JsonNode JDK serialization.

debian логотип

CVE-2021-46877

CVSS3: 7.5
debian
почти 3 года назад

jackson-databind 2.10.x through 2.12.x before 2.12.6 and 2.13.x before ...

github логотип

GHSA-3x8x-79m2-3w2w

CVSS3: 7.5
github
почти 3 года назад

jackson-databind possible Denial of Service if using JDK serialization to serialize JsonNode

EPSS

Процентиль: 49%
0.00261
Низкий

7.5 High

CVSS3

7.8 High

CVSS2