ГлавнаяБаза уязвимостей БДУ → BDU:2021-00882
9.3высокая

BDU:2021-00882

Уязвимость функции в com.pastdev.httpcomponents.configuration.JndiConfiguration библиотеки Jackson-databind проекта FasterXML , позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2021-02-23
Описание

Уязвимость функции в com.pastdev.httpcomponents.configuration.JndiConfiguration библиотеки Jackson-databind проекта FasterXML связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Oracle Communications Messaging Server (8.1)Communications Diameter Signaling Router (от 8.0.0 до 8.2.2 включительно)Jackson-databind (от 2.0 до 2.9.10.6)Communications Calendar Server (8.0)Oracle Communications Contacts Server (8.0)Identity Manager Connector (11.1.1.5.0)Siebel UI Framework (до 21.2 включительно)ОСОН ОСнова Оnyx (до 2.1)РОСА ХРОМ (12.4)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
https://github.com/FasterXML/jackson-databind/commit/ad5a630174f08d279504bc51ebba8772fd71b86b
https://github.com/FasterXML/jackson-databind/issues/2798

Для Debian:
https://lists.debian.org/debian-lts-announce/2021/04/msg00025.html

Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpuapr2021.html
https://www.oracle.com/security-alerts/cpujan2021.html

Для ОСОН Основа:
Обновление программного обеспечения jackson-databind до версии 2.9.8-3+deb10u3

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Оценка CVSS
Балл9.3 — высокая опасность
Источники и патчи
https://github.com/FasterXML/jackson-databind/commit/ad5a630174f08d279504bc51ebba8772fd71b86bhttps://github.com/FasterXML/jackson-databind/issues/2798https://lists.debian.org/debian-lts-announce/2021/04/msg00025.htmlhttps://security.netapp.com/advisory/ntap-20201009-0003/https://www.oracle.com/security-alerts/cpuapr2021.htmlhttps://www.oracle.com/security-alerts/cpujan2021.htmlhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Проверьте безопасность своего сайта и почты → Полная проверка домена