ГлавнаяБаза уязвимостей БДУ → BDU:2020-01666
10критическая

BDU:2020-01666

Уязвимость класса logback-core в файле QOS.ch библиотеки Jackson-databind, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2020-04-22
Описание

Уязвимость класса logback-core в файле QOS.ch библиотеки Jackson-databind связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
logback (до 1.1.10 включительно)Red Hat Fuse (7.0.0)Red Hat Fuse (7.0.1)Red Hat Fuse (7.1.0)Red Hat Fuse (7.1.1)Red Hat Fuse (7.2.0)Red Hat Fuse (7.3.0)Red Hat Fuse (7.3.1)Red Hat Fuse (7.4.0)Red Hat Fuse (7.5.0)
Способ устранения

Использование рекомендаций производителя Logback:
https://logback.qos.ch/news.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2017:1675
https://access.redhat.com/errata/RHSA-2017:1676
https://access.redhat.com/errata/RHSA-2017:1832
https://access.redhat.com/errata/RHSA-2018:2927

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://access.redhat.com/errata/RHSA-2017:1675https://access.redhat.com/errata/RHSA-2017:1676https://access.redhat.com/errata/RHSA-2017:1832https://access.redhat.com/errata/RHSA-2018:2927https://logback.qos.ch/news.html
Проверьте безопасность своего сайта и почты → Полная проверка домена