Уязвимость класса logback-core библиотеки Jackson-databind связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Использование рекомендаций:
Для Jackson-databind:
https://github.com/FasterXML/jackson-databind/compare/74b90a4...a977aad
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OVRZDN2T6AZ6DJCZJ3VSIQIVHBVMVWBL/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TXRVXNRFHJSQWFHPRJQRI5UPMZ63B544/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UKUALE2TUCKEKOHE2D342PQXN4MWCSLC/
Для Debian:
https://www.debian.org/security/2019/dsa-4542
https://lists.debian.org/debian-lts-announce/2019/06/msg00019.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-12384
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2018-12384/
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u6 или более поздней версии
Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10
| Балл | 7.1 — высокая опасность |