ГлавнаяБаза уязвимостей БДУ → BDU:2022-03804
9.3высокая

BDU:2022-03804 (CVE-2020-35490)

Уязвимость компонента org.apache.commons.dbcp2.datasources.PerUserPoolDataSource библиотеки Jackson-databind проекта FasterXML, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-06-27
Описание

Уязвимость компонента org.apache.commons.dbcp2.datasources.PerUserPoolDataSource библиотеки Jackson-databind проекта FasterXML связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированных данных

Затрагиваемое ПО и версии
Debian GNU/Linux (9)WebCenter Portal (12.2.1.3.0)Application Testing Suite (13.3.0.1)Banking Platform (2.6.2)WebCenter Portal (12.2.1.4.0)Banking Platform (2.7.0)Banking Platform (2.7.1)Banking Platform (2.9.0)Insurance Policy Administration J2EE (11.2.0)Banking Platform (2.8.0)Blockchain Platform (до 21.1.2)Jackson-databind (от 2.0.0 до 2.9.10.8)Service Level Manager (SLM)Autovue for Agile Product Lifecycle Management (21.0.2)Banking Platform (2.10.0)Banking Treasury Management (14.4)Banking Virtual Account Management (14.2.0)Banking Virtual Account Management (14.3.0)Banking Virtual Account Management (14.5.0)Communications Cloud Native Core Policy (1.14.0)Communications Cloud Native Core Policy (1.4.0)Communications Diameter Signaling Router (от 8.0.0 до 8.5.0 включительно)Communications Instant Messaging Server (10.0.1.5.0)Communications Interactive Session Recorder (6.3)Communications Interactive Session Recorder (6.4)Communications Online Mediation Controller (12.0.0.3)Communications Pricing Design Center (12.0.0.4.0)Communications Services Gatekeeper (7.0)Communications Unified Inventory Management (7.4.1)Oracle Documaker (12.6.3)
Способ устранения

Для программных продуктов FasterXML::
https://github.com/FasterXML/jackson-databind/issues/2986

Для программных продуктов NetApp Inc.:
https://security.netapp.com/advisory/ntap-20210122-0005/

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2021/04/msg00025.html

Для программных продуктов Oracle Corp.:
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuApr2021.html
https://www.oracle.com/security-alerts/cpuoct2021.html
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html

Для ОСОН Основа:
Обновление программного обеспечения jackson-databind до версии 2.9.8-3+deb10u3

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2420

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Оценка CVSS
Балл9.3 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2020-35490https://cowtowncoder.medium.com/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062https://github.com/FasterXML/jackson-databind/issues/2986https://lists.debian.org/debian-lts-announce/2021/04/msg00025.htmlhttps://security.netapp.com/advisory/ntap-20210122-0005/https://www.oracle.com//security-alerts/cpujul2021.htmlhttps://www.oracle.com/security-alerts/cpuApr2021.htmlhttps://www.oracle.com/security-alerts/cpuoct2021.html
Проверьте безопасность своего сайта и почты → Полная проверка домена