9.3высокая
BDU:2021-00714 (CVE-2020-10673)
Уязвимость компонента org.aoju.bus.proxy.provider.remoting.RmiProvider библиотеки Jackson-databind проекта FasterXML, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2021-02-16
Описание
Уязвимость компонента org.aoju.bus.proxy.provider.remoting.RmiProvider библиотеки Jackson-databind проекта FasterXML связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Затрагиваемое ПО и версии
Primavera Unifier (16.2)Primavera Unifier (16.1)WebLogic Server (12.2.1.3.0)Oracle Retail Merchandising System (15.0)Astra Linux Common Edition (2.12 «Орёл»)Debian GNU/Linux (8)Primavera Unifier (18.8)Retail Xstore Point of Service (15.0)Retail Xstore Point of Service (16.0)Retail Xstore Point of Service (17.0)Retail Xstore Point of Service (18.0)Retail Xstore Point of Service (19.0.0)OpenShift Application RuntimesWebLogic Server (12.2.1.4.0)Enterprise Manager Base Platform (13.3.0.0)Primavera Unifier (19.12)Primavera Unifier (от 17.7 до 17.12 включительно)Financial Services Price Creation and Discovery (8.0.7)Oracle Agile PLM (9.3.6)Oracle Retail Service Backbone (15.0)Oracle Retail Service Backbone (16.0)Enterprise Manager Base Platform (13.4.0.0)CodeReady Studio (12)Financial Services Analytical Applications Infrastructure (от 8.0.6 до 8.1.0 включительно)Oracle Banking Platform (от 2.4.0 до 2.9.0 включительно)Communications Instant Messaging Server (10.0.1.4.0)Jackson-databind (от 2.0 до 2.9.10.4)Oracle Communications Contacts Server (8.0.0.4.0)Oracle Communications Evolved Communications Application Server (7.1)Communications Network Charging and Control (6.0.1)
Способ устранения
Использование рекомендаций производителя:
Для Jackson-databind:
https://github.com/FasterXML/jackson-databind/issues/2660
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/03/msg00027.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-10673
Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии
Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629
Оценка CVSS
| Балл | 9.3 — высокая опасность |
Источники и патчи