9.3высокая
BDU:2022-03804 (CVE-2020-35490)
Уязвимость компонента org.apache.commons.dbcp2.datasources.PerUserPoolDataSource библиотеки Jackson-databind проекта FasterXML, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-06-27
Описание
Уязвимость компонента org.apache.commons.dbcp2.datasources.PerUserPoolDataSource библиотеки Jackson-databind проекта FasterXML связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированных данных
Затрагиваемое ПО и версии
Debian GNU/Linux (9)WebCenter Portal (12.2.1.3.0)Application Testing Suite (13.3.0.1)Banking Platform (2.6.2)WebCenter Portal (12.2.1.4.0)Banking Platform (2.7.0)Banking Platform (2.7.1)Banking Platform (2.9.0)Insurance Policy Administration J2EE (11.2.0)Banking Platform (2.8.0)Blockchain Platform (до 21.1.2)Jackson-databind (от 2.0.0 до 2.9.10.8)Service Level Manager (SLM)Autovue for Agile Product Lifecycle Management (21.0.2)Banking Platform (2.10.0)Banking Treasury Management (14.4)Banking Virtual Account Management (14.2.0)Banking Virtual Account Management (14.3.0)Banking Virtual Account Management (14.5.0)Communications Cloud Native Core Policy (1.14.0)Communications Cloud Native Core Policy (1.4.0)Communications Diameter Signaling Router (от 8.0.0 до 8.5.0 включительно)Communications Instant Messaging Server (10.0.1.5.0)Communications Interactive Session Recorder (6.3)Communications Interactive Session Recorder (6.4)Communications Online Mediation Controller (12.0.0.3)Communications Pricing Design Center (12.0.0.4.0)Communications Services Gatekeeper (7.0)Communications Unified Inventory Management (7.4.1)Oracle Documaker (12.6.3)
Способ устранения
Для программных продуктов FasterXML::
https://github.com/FasterXML/jackson-databind/issues/2986
Для программных продуктов NetApp Inc.:
https://security.netapp.com/advisory/ntap-20210122-0005/
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2021/04/msg00025.html
Для программных продуктов Oracle Corp.:
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuApr2021.html
https://www.oracle.com/security-alerts/cpuoct2021.html
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
Для ОСОН Основа:
Обновление программного обеспечения jackson-databind до версии 2.9.8-3+deb10u3
Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2420
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629
Оценка CVSS
| Балл | 9.3 — высокая опасность |
Источники и патчи