ГлавнаяБаза уязвимостей БДУ → BDU:2021-00768
9.3высокая

BDU:2021-00768 (CVE-2020-10672)

Уязвимость компонента org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory библиотеки Jackson-databind проекта FasterXML, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2021-02-16
Описание

Уязвимость компонента org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory библиотеки Jackson-databind проекта FasterXML связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Primavera Unifier (16.2)Primavera Unifier (16.1)WebLogic Server (12.2.1.3.0)Oracle Retail Merchandising System (15.0)Astra Linux Common Edition (2.12 «Орёл»)Debian GNU/Linux (8)Primavera Unifier (18.8)Retail Xstore Point of Service (15.0)Retail Xstore Point of Service (16.0)Retail Xstore Point of Service (17.0)Retail Xstore Point of Service (18.0)Retail Xstore Point of Service (19.0.0)WebLogic Server (12.2.1.4.0)Enterprise Manager Base Platform (13.3.0.0)Primavera Unifier (19.12)Primavera Unifier (от 17.7 до 17.12 включительно)Financial Services Price Creation and Discovery (8.0.7)Oracle Agile PLM (9.3.6)Oracle Retail Service Backbone (15.0)Oracle Retail Service Backbone (16.0)Enterprise Manager Base Platform (13.4.0.0)CodeReady Studio (12)Financial Services Analytical Applications Infrastructure (от 8.0.6 до 8.1.0 включительно)Oracle Banking Platform (от 2.4.0 до 2.9.0 включительно)Communications Instant Messaging Server (10.0.1.4.0)Jackson-databind (от 2.0 до 2.9.10.4)Oracle Communications Contacts Server (8.0.0.4.0)Oracle Communications Evolved Communications Application Server (7.1)Communications Network Charging and Control (6.0.1)Communications Network Charging and Control (от 12.0.0 до 12.0.3 включительно)
Способ устранения

Использование рекомендаций производителя:
Для Jackson-databind:
https://github.com/FasterXML/jackson-databind/issues/2659

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/03/msg00027.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-10672

Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Оценка CVSS
Балл9.3 — высокая опасность
Источники и патчи
https://www.oracle.com/security-alerts/cpujan2021.htmlhttps://www.oracle.com/security-alerts/cpujul2020.htmlhttps://www.oracle.com/security-alerts/cpuoct2020.htmlhttps://github.com/FasterXML/jackson-databind/issues/2659https://lists.debian.org/debian-lts-announce/2020/03/msg00027.htmlhttps://medium.com/@cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062https://access.redhat.com/security/cve/cve-2020-10672https://www.ibm.com/blogs/psirt/security-bulletin-multiple-security-vulnerabilities-in-jackson-databind-affect-ibm-sterling-b2b-integrator-3/
Проверьте безопасность своего сайта и почты → Полная проверка домена