9.3высокая
BDU:2021-00772 (CVE-2020-11113)
Уязвимость компонента org.apache.openjpa.ee.WASRegistryManagedRuntime библиотеки Jackson-databind проекта FasterXML, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2021-02-16
Описание
Уязвимость компонента org.apache.openjpa.ee.WASRegistryManagedRuntime библиотеки Jackson-databind проекта FasterXML связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Затрагиваемое ПО и версии
Primavera Unifier (16.2)Primavera Unifier (16.1)WebLogic Server (12.2.1.3.0)Oracle Retail Merchandising System (15.0)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Primavera Unifier (18.8)Retail Xstore Point of Service (15.0)Retail Xstore Point of Service (16.0)Retail Xstore Point of Service (17.0)Retail Xstore Point of Service (18.0)Retail Xstore Point of Service (19.0.0)WebLogic Server (12.2.1.4.0)Enterprise Manager Base Platform (13.3.0.0)Primavera Unifier (19.12)Primavera Unifier (от 17.7 до 17.12 включительно)Financial Services Price Creation and Discovery (8.0.7)Oracle Agile PLM (9.3.6)Oracle Retail Service Backbone (15.0)Oracle Retail Service Backbone (16.0)Enterprise Manager Base Platform (13.4.0.0)Financial Services Analytical Applications Infrastructure (от 8.0.6 до 8.1.0 включительно)Oracle Banking Platform (от 2.4.0 до 2.9.0 включительно)Communications Instant Messaging Server (10.0.1.4.0)Jackson-databind (от 2.0 до 2.9.10.4)Oracle Communications Contacts Server (8.0.0.4.0)Oracle Communications Evolved Communications Application Server (7.1)Communications Network Charging and Control (6.0.1)Communications Network Charging and Control (от 12.0.0 до 12.0.3 включительно)
Способ устранения
Использование рекомендаций производителя:
Для Jackson-databind:
https://github.com/FasterXML/jackson-databind/issues/2670
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/04/msg00012.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-11113
Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии
Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629
Оценка CVSS
| Балл | 9.3 — высокая опасность |
Источники и патчи