Уязвимость библиотеки Jackson-databind связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, прочитать произвольные файлы на сервере с помощью специально созданного JSON-сообщения
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для программных средств Oracle:
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html
https://www.oracle.com/security-alerts/cpujul2020.html
Обновление библиотеки Jackson-databind до версии 2.9.9, 2.8.11.4, 2.7.9.6, 2.6.7.3 или новее
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
| Балл | 7.8 — высокая опасность |