ГлавнаяБаза уязвимостей БДУ → BDU:2020-03617
9.3критическая

BDU:2020-03617 (CVE-2020-9546)

Уязвимость компонента com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2020-07-31
Описание

Уязвимость компонента com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Primavera Unifier (16.2)Primavera Unifier (16.1)WebCenter Portal (12.2.1.3.0)WebLogic Server (12.2.1.3.0)Oracle Retail Customer Management and Segmentation Foundation (18.0)Oracle Retail Merchandising System (15.0)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)Database Server (12.2.0.1)Database Server (18c)Database Server (19c)Debian GNU/Linux (8)Jboss Fuse (7)Primavera Unifier (18.8)Retail Xstore Point of Service (15.0)Retail Xstore Point of Service (16.0)Retail Xstore Point of Service (17.0)Retail Xstore Point of Service (18.0)OpenShift Application Runtimes (1.0)Retail Xstore Point of Service (19.0.0)Red Hat Single Sign-On (7)Red Hat Process Automation Manager (7)JBoss Enterprise Application Platform Continuous DeliveryWebLogic Server (12.2.1.4.0)Enterprise Manager Base Platform (13.3.0.0)Red Hat Descision Manager (7)Primavera Unifier (19.12)Primavera Unifier (от 17.7 до 17.12 включительно)WebCenter Portal (12.2.1.4.0)Oracle Agile PLM (9.3.6)
Способ устранения

Использование рекомендаций:
Для jackson-databind:
https://github.com/FasterXML/jackson-databind/issues/2634

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujan2021.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-9547

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/03/msg00008.html

Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-jackson-databind-cve-2020-9546-cve-2020-8840-cve-2020-9548-cve-2020-9547/?sphrase_id=1074012

Оценка CVSS
Балл9.3 — критическая опасность
Источники и патчи
https://github.com/FasterXML/jackson-databind/issues/2634https://lists.apache.org/thread.html/r35d30db00440ef63b791c4b7f7acb036e14d4a23afa2a249cb66c0fd@%3Cissues.zookeeper.apache.org%3Ehttps://lists.apache.org/thread.html/r4accb2e0de9679174efd3d113a059bab71ff3ec53e882790d21c1cc1@%3Cnotifications.zookeeper.apache.org%3Ehttps://lists.apache.org/thread.html/r742ef70d126548dcf7de5be5779355c9d76a9aec71d7a9ef02c6398a@%3Cnotifications.zookeeper.apache.org%3Ehttps://lists.apache.org/thread.html/r893a0104e50c1c2559eb9a5812add28ae8c3e5f43712947a9847ec18@%3Cnotifications.zookeeper.apache.org%3Ehttps://lists.apache.org/thread.html/r9464a40d25c3ba1a55622db72f113eb494a889656962d098c70c5bb1@%3Cdev.zookeeper.apache.org%3Ehttps://lists.apache.org/thread.html/r98c9b6e4c9e17792e2cd1ec3e4aa20b61a791939046d3f10888176bb@%3Cissues.zookeeper.apache.org%3Ehttps://lists.apache.org/thread.html/ra3e90712f2d59f8cef03fa796f5adf163d32b81fe7b95385f21790e6@%3Cnotifications.zookeeper.apache.org%3E
Проверьте безопасность своего сайта и почты → Полная проверка домена