Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-00113

Опубликовано: 17 дек. 2020
Источник: fstec
CVSS3: 8.1
CVSS2: 7.6
EPSS Низкий

Описание

Уязвимость библиотеки jackson-databind связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Oracle Corp.
Сообщество свободного программного обеспечения
Red Hat Inc.
NetApp Inc.
АО "НППКТ"
АО «НТЦ ИТ РОСА»

Наименование ПО

Application Testing Suite
Debian GNU/Linux
Red Hat OpenStack Platform
Red Hat JBoss Data Virtualization
Red Hat BPM Suite
Oracle Agile PLM
Red Hat JBoss Data Grid
Insurance Policy Administration J2EE
Oracle Communications Evolved Communications Application Server
Oracle Retail Merchandising System
Oracle SD-WAN Edge
Oracle Communications Services Gatekeeper
Oracle Banking Platform
Oracle Retail Xstore Point of Service
Oracle Banking Virtual Account Management
Red Hat JBoss BRMS
Red Hat JBoss Fuse Service Works
Oracle WebCenter Portal
Communications Diameter Signaling Router
OpenShift Logging
Red Hat OpenShift Container Platform
Service Level Manager (SLM)
Autovue for Agile Product Lifecycle Management
Banking Treasury Management
Communications Cloud Native Core Policy
Communications Instant Messaging Server
Communications Pricing Design Center
Communications Unified Inventory Management
Oracle Documaker
Oracle Communications Cloud Native Core Unified Data Repository
Oracle Communications Offline Mediation Controller
ОСОН ОСнова Оnyx
ROSA Virtualization
РОСА ХРОМ
Oracle Retail Customer Management and Segmentation Foundation
NetApp Cloud Backup (formerly AltaVault)
Element Plug-in for vCenter Server
Blockchain Platform

Версия ПО

13.3.0.1 (Application Testing Suite)
10 (Debian GNU/Linux)
10.0 (Newton) (Red Hat OpenStack Platform)
13.0 (Queens) (Red Hat OpenStack Platform)
6 (Red Hat JBoss Data Virtualization)
6 (Red Hat BPM Suite)
9.3.6 (Oracle Agile PLM)
7 (Red Hat JBoss Data Grid)
11.0.2 (Insurance Policy Administration J2EE)
7.1 (Oracle Communications Evolved Communications Application Server)
15.0.3 (Oracle Retail Merchandising System)
9.0 (Oracle SD-WAN Edge)
7.0 (Oracle Communications Services Gatekeeper)
2.7.0 (Oracle Banking Platform)
2.7.1 (Oracle Banking Platform)
2.8.0 (Oracle Banking Platform)
2.9.0 (Oracle Banking Platform)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
16.0.6 (Oracle Retail Xstore Point of Service)
17.0.4 (Oracle Retail Xstore Point of Service)
18.0.3 (Oracle Retail Xstore Point of Service)
19.0.2 (Oracle Retail Xstore Point of Service)
14.2 (Oracle Banking Virtual Account Management)
14.3 (Oracle Banking Virtual Account Management)
14.5 (Oracle Banking Virtual Account Management)
6 (Red Hat JBoss BRMS)
6 (Red Hat JBoss Fuse Service Works)
12.2.1.3.0 (Oracle WebCenter Portal)
12.2.1.4.0 (Oracle WebCenter Portal)
от 8.0.0.0 до 8.5.0.0 включительно (Communications Diameter Signaling Router)
5.0 (OpenShift Logging)
3.11 (Red Hat OpenShift Container Platform)
4 (Red Hat OpenShift Container Platform)
- (Service Level Manager (SLM))
21.0.2 (Autovue for Agile Product Lifecycle Management)
14.4 (Banking Treasury Management)
1.14.0 (Communications Cloud Native Core Policy)
10.0.1.5.0 (Communications Instant Messaging Server)
12.0.0.4.0 (Communications Pricing Design Center)
7.4.1 (Communications Unified Inventory Management)
12.6.3 (Oracle Documaker)
12.6.4 (Oracle Documaker)
4.6 (Red Hat OpenShift Container Platform)
1.4.0 (Oracle Communications Cloud Native Core Unified Data Repository)
12.0.0.3 (Oracle Communications Offline Mediation Controller)
до 2.1 (ОСОН ОСнова Оnyx)
2.1 (ROSA Virtualization)
12.4 (РОСА ХРОМ)
от 16.0 до 19.0 включительно (Oracle Retail Customer Management and Segmentation Foundation)
- (NetApp Cloud Backup (formerly AltaVault))
- (Element Plug-in for vCenter Server)
2.6.2 (Oracle Banking Platform)
2.10.0 (Oracle Banking Platform)
до 21.1.2 включительно (Blockchain Platform)

Тип ПО

Сетевое программное средство
Операционная система
ПО программно-аппаратного средства
Прикладное ПО информационных систем
Сетевое средство
ПО сетевого программно-аппаратного средства
СУБД

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
АО "НППКТ" ОСОН ОСнова Оnyx до 2.1
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для FasterXML:
https://github.com/FasterXML/jackson-databind/issues/2986
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-35491
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2020-35491
Для программных продуктов NetApp Inc.:
https://security.netapp.com/advisory/ntap-20210122-0005/
Для программных продуктов Oracle Corp.:
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuApr2021.html
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpujul2022.html
https://www.oracle.com/security-alerts/cpuoct2021.html
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения jackson-databind до версии 2.9.8-3+deb10u3
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2420
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 90%
0.05713
Низкий

8.1 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-35491

CVSS3: 8.1
ubuntu
около 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.apache.commons.dbcp2.datasources.SharedPoolDataSource.

redhat логотип

CVE-2020-35491

CVSS3: 8.1
redhat
около 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.apache.commons.dbcp2.datasources.SharedPoolDataSource.

nvd логотип

CVE-2020-35491

CVSS3: 8.1
nvd
около 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.apache.commons.dbcp2.datasources.SharedPoolDataSource.

debian логотип

CVE-2020-35491

CVSS3: 8.1
debian
около 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interact ...

github логотип

GHSA-r3gr-cxrf-hg25

CVSS3: 8.1
github
около 4 лет назад

Serialization gadgets exploit in jackson-databind

EPSS

Процентиль: 90%
0.05713
Низкий

8.1 High

CVSS3

7.6 High

CVSS2