ГлавнаяБаза уязвимостей БДУ → BDU:2021-01382
7.5критическая

BDU:2021-01382 (CVE-2017-17485)

Уязвимость метода readValue класса ObjectMapper библиотеки Jackson-databind, связанная с восстановлением в памяти недостоверной структуры данных, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2021-03-21
Описание

Уязвимость метода readValue класса ObjectMapper библиотеки Jackson-databind связана с некорректной проверкой входных данных до попытки их десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Common Edition (2.12 «Орёл»)OpenShift Container Platform (4.1)OpenShift Container Platform (3.11)JBoss Enterprise Application Platform (6.4)Jboss Operations Network (3.3)Jboss Fuse (7)Debian GNU/Linux (10)Red Hat Software CollectionsJBoss Enterprise Application Platform (7)JBoss Enterprise Application Platform (7.1 for RHEL 6)JBoss Enterprise Application Platform (6)JBoss Enterprise Application Platform (6.4 for RHEL 5)JBoss Enterprise Application Platform (6.4 for RHEL 6)Jackson-databind (от 2.6.0 до 2.6.7.3)Jackson-databind (от 2.7.0 до 2.7.9.2)Jackson-databind (от 2.8.0 до 2.8.11)Jackson-databind (от 2.9.0 до 2.9.4)
Способ устранения

Использование рекомендаций:
Для Jackson-databind:
Обновление программного обеспечения до 2.12.1-1 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета jackson-databind) до 2.9.8-3+deb10u1 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.9.8-3+deb10u1 или более поздней версии

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2018:0116
https://access.redhat.com/errata/RHSA-2018:0342
https://access.redhat.com/errata/RHSA-2018:0478
https://access.redhat.com/errata/RHSA-2018:0479
https://access.redhat.com/errata/RHSA-2018:0480
https://access.redhat.com/errata/RHSA-2018:0481
https://access.redhat.com/errata/RHSA-2018:1447
https://access.redhat.com/errata/RHSA-2018:1448
https://access.redhat.com/errata/RHSA-2018:1449
https://access.redhat.com/errata/RHSA-2018:1450
https://access.redhat.com/errata/RHSA-2018:1451
https://access.redhat.com/errata/RHSA-2018:2930
https://access.redhat.com/errata/RHSA-2019:1782
https://access.redhat.com/errata/RHSA-2019:1797
https://access.redhat.com/errata/RHSA-2019:2858
https://access.redhat.com/errata/RHSA-2019:3149
https://access.redhat.com/errata/RHSA-2019:3892

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2017-17485https://security-tracker.debian.org/tracker/CVE-2017-17485https://bugzilla.redhat.com/show_bug.cgi?id=1528565#c0https://github.com/FasterXML/jackson-databind/issues/1855https://access.redhat.com/errata/RHSA-2018:0116https://access.redhat.com/errata/RHSA-2018:0342https://access.redhat.com/errata/RHSA-2018:0478https://access.redhat.com/errata/RHSA-2018:0479
Проверьте безопасность своего сайта и почты → Полная проверка домена