ГлавнаяБаза уязвимостей БДУ → BDU:2021-01572
7.5высокая

BDU:2021-01572 (CVE-2020-8840)

Уязвимость компонента xbean-reflect/JNDI библиотеки Jackson-databind, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2021-03-30
Описание

Уязвимость компонента xbean-reflect/JNDI библиотеки Jackson-databind связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)Debian GNU/Linux (8)OpenShift Container Platform (3.11)Jboss Fuse (7)Red Hat Software CollectionsJBoss Enterprise Application Platform (7)Red Hat Single Sign-On (7)JBoss Enterprise Application Platform Continuous DeliveryJBoss A-MQ (6.0)JBoss Enterprise Application Platform (7.2 for RHEL 6)JBoss Enterprise Application Platform (7.2 for RHEL 7)JBoss Enterprise Application Platform (7.2 for RHEL 8)Red Hat Descision Manager (7)Red Hat OpenStack Platform (10.0 (Newton))Red Hat OpenStack Platform (13.0 (Queens))OpenShift Container Platform (4)Oracle Global Lifecycle Management OPatch (от 11.2.0.0.0 до 11.2.0.3.23)Oracle Global Lifecycle Management OPatch (от 12.2.0.0.0 до 12.2.0.1.19)Oracle Global Lifecycle Management OPatch (от 13.9.0.0.0 до 13.9.4.2.1)Jboss Fuse (6)JBoss Enterprise Application Platform (7.3 for RHEL 6)JBoss Enterprise Application Platform (7.3 for RHEL 7)JBoss Enterprise Application Platform (7.3 for RHEL 8)JBoss EAP (7)Red Hat Process Automation (7)Red Hat Satellite (6.6 for RHEL 7)Red Hat Satellite (6.7 for RHEL 7)JBoss Data Grid (7.3)Red Hat Satellite (6.7 for RHEL 8)
Способ устранения

Использование рекомендаций:
Для Jackson-databind:
Обновление программного обеспечения до 2.12.1-1 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-8840

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpuapr2020.html

Для программных продуктов Huawei Technologies Co., Ltd.:
https://www.huawei.com/en/psirt/security-advisories/huawei-sa-20200610-01-fastjason-en

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-jackson-databind-cve-2020-9546-cve-2020-8840-cve-2020-9548-cve-2020-9547/?sphrase_id=1074012

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2020-8840https://www.oracle.com/security-alerts/cpuoct2020.htmlhttps://www.oracle.com/security-alerts/cpuapr2020.htmlhttps://www.huawei.com/en/psirt/security-advisories/huawei-sa-20200610-01-fastjason-enhttps://lists.debian.org/debian-lts-announce/2020/02/msg00020.htmlhttps://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023https://abf.rosa.ru/advisories/ROSA-SA-2025-2629https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-jackson-databind-cve-2020-9546-cve-2020-8840-cve-2020-9548-cve-2020-9547/?sphrase_id=1074012
Проверьте безопасность своего сайта и почты → Полная проверка домена