10критическая
BDU:2020-04467 (CVE-2020-11620)
Уязвимость компонента commons-jelly библиотеки Jackson-databind проекта FasterXML, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2020-09-29
Описание
Уязвимость компонента commons-jelly библиотеки Jackson-databind проекта FasterXML связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в целевой системе
Затрагиваемое ПО и версии
Primavera Unifier (16.2)Primavera Unifier (16.1)WebCenter Portal (12.2.1.3.0)WebLogic Server (12.2.1.3.0)Oracle Retail Customer Management and Segmentation Foundation (18.0)Oracle Retail Merchandising System (15.0)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)Database Server (12.2.0.1)Database Server (18c)Database Server (19c)Debian GNU/Linux (8)Jboss Fuse (7)Primavera Unifier (18.8)Retail Xstore Point of Service (15.0)Retail Xstore Point of Service (16.0)Retail Xstore Point of Service (17.0)Retail Xstore Point of Service (18.0)OpenShift Application Runtimes (1.0)Retail Xstore Point of Service (19.0.0)Red Hat Single Sign-On (7)JBoss Enterprise Application Platform Continuous DeliveryWebLogic Server (12.2.1.4.0)Enterprise Manager Base Platform (13.3.0.0)Red Hat Descision Manager (7)Primavera Unifier (19.12)Primavera Unifier (от 17.7 до 17.12 включительно)WebCenter Portal (12.2.1.4.0)Oracle Agile PLM (9.3.6)Enterprise Manager Base Platform (13.4.0.0)
Способ устранения
Использование рекомендаций:
Для jackson-databind:
https://github.com/FasterXML/jackson-databind/issues/2682
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/04/msg00012.html
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
Для программных продуктов Red Hat:
https://access.redhat.com/security/cve/cve-2020-11620
Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии
Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи