CVE-2019-20330

Опубликовано: 02 янв. 2020

Источник: redhat

CVSS3: 8.1

EPSS Низкий

Описание

FasterXML jackson-databind 2.x before 2.9.10.2 lacks certain net.sf.ehcache blocking.

Отчет

While OpenShift Container Platform's elasticsearch plugins do ship the vulnerable component, it doesn't do any of the unsafe things described in https://access.redhat.com/solutions/3279231. We may update the jackson-databind dependency in a future release.

Меры по смягчению последствий

The following conditions are needed for an exploit, we recommend avoiding all if possible:

Deserialization from sources you do not control
enableDefaultTyping()
@JsonTypeInfo using id.CLASSorid.MINIMAL_CLASS`

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat JBoss A-MQ 6	jackson-databind	Not affected
Red Hat JBoss Enterprise Application Platform 7	jackson-databind	Not affected
Red Hat JBoss Fuse 6	jackson-databind	Not affected
Red Hat Mobile Application Platform 4	jackson-databind	Out of support scope
Red Hat OpenShift Application Runtimes	jackson-databind	Affected
Red Hat OpenShift Container Platform 3.11	openshift3/ose-logging-elasticsearch5	Will not fix
Red Hat OpenShift Container Platform 4	openshift4/ose-logging-elasticsearch5	Will not fix
Red Hat Software Collections	rh-maven35-jackson-databind	Will not fix
EAP-CD 19 Tech Preview	jackson-databind	Fixed	RHSA-2020:2333	28.05.2020
Red Hat AMQ Streams 1	jackson-databind	Fixed	RHSA-2020:0939	23.03.2020

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Important

Дефект:

CWE-502

https://bugzilla.redhat.com/show_bug.cgi?id=1793154jackson-databind: lacks certain net.sf.ehcache blocking

EPSS

Процентиль: 83%

0.01997

Низкий

8.1 High

CVSS3

Связанные уязвимости

CVE-2019-20330

CVSS3: 9.8

ubuntu

больше 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.2 lacks certain net.sf.ehcache blocking.

CVE-2019-20330

CVSS3: 9.8

nvd

больше 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.2 lacks certain net.sf.ehcache blocking.

CVE-2019-20330

CVSS3: 9.8

debian

больше 5 лет назад

FasterXML jackson-databind 2.x before 2.9.10.2 lacks certain net.sf.eh ...

GHSA-gww7-p5w4-wrfv

CVSS3: 9.8

github

больше 5 лет назад

Deserialization of Untrusted Data in jackson-databind

BDU:2020-02242

CVSS3: 9.8

fstec

больше 5 лет назад

Уязвимость библиотеки Jackson-databind, связанная с восстановлением недостоверных данных в памяти, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании

EPSS

Процентиль: 83%

0.01997

Низкий

8.1 High

CVSS3