ГлавнаяБаза уязвимостей БДУ → BDU:2021-00767
9.3высокая

BDU:2021-00767

Уязвимость класса ignite-jta библиотеки Jackson-databind проекта FasterXML, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2021-02-16
Описание

Уязвимость класса ignite-jta библиотеки Jackson-databind проекта FasterXML связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Primavera Unifier (16.2)Primavera Unifier (16.1)WebLogic Server (12.2.1.3.0)Oracle Retail Merchandising System (15.0)Primavera Unifier (18.8)Retail Xstore Point of Service (15.0)Retail Xstore Point of Service (16.0)Retail Xstore Point of Service (17.0)Retail Xstore Point of Service (18.0)Retail Xstore Point of Service (19.0.0)WebLogic Server (12.2.1.4.0)Enterprise Manager Base Platform (13.3.0.0)Primavera Unifier (19.12)Primavera Unifier (от 17.7 до 17.12 включительно)Financial Services Price Creation and Discovery (8.0.7)Oracle Agile PLM (9.3.6)Oracle Retail Service Backbone (15.0)Oracle Retail Service Backbone (16.0)Enterprise Manager Base Platform (13.4.0.0)Financial Services Analytical Applications Infrastructure (от 8.0.6 до 8.1.0 включительно)Oracle Banking Platform (от 2.4.0 до 2.9.0 включительно)Communications Instant Messaging Server (10.0.1.4.0)Jackson-databind (от 2.0 до 2.9.10.4)Oracle Communications Contacts Server (8.0.0.4.0)Oracle Communications Evolved Communications Application Server (7.1)Communications Network Charging and Control (6.0.1)Communications Network Charging and Control (от 12.0.0 до 12.0.3 включительно)Oracle Retail Sales Audit (14.1)Oracle Retail Service Backbone (14.1)Oracle Global Lifecycle Management OPatch (до 12.2.0.1.20 включительно)
Способ устранения

Использование рекомендаций производителя:
Для Jackson-databind:
https://github.com/FasterXML/jackson-databind/issues/2658

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения jackson-databind до версии 2.9.8-3+deb10u5

Оценка CVSS
Балл9.3 — высокая опасность
Источники и патчи
https://www.oracle.com/security-alerts/cpujan2021.htmlhttps://www.oracle.com/security-alerts/cpujul2020.htmlhttps://www.oracle.com/security-alerts/cpuoct2020.htmlhttps://github.com/FasterXML/jackson-databind/issues/2658https://medium.com/@cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.8/
Проверьте безопасность своего сайта и почты → Полная проверка домена