ГлавнаяБаза уязвимостей БДУ → BDU:2023-05618
7.8высокая

BDU:2023-05618

Уязвимость библиотеки Jackson-databind проекта FasterXML, связанная с восстановлением в памяти недостоверных данных, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-09-14
Описание

Уязвимость библиотеки Jackson-databind проекта FasterXML связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (10)OnCommand Workflow AutomationDebian GNU/Linux (11)Active IQ Unified Manager for Microsoft WindowsActive IQ Unified Manager for VMware vSphereОСОН ОСнова Оnyx (до 2.7)РОСА ХРОМ (12.4)Cassandra (4.1.3)Active IQ Unified Manager for LinuxJackson-databind (до 2.12.7.1)Jackson-databind (от 2.13.0 до 2.13.4.1)quarkus (до 2.13.3)АЛЬТ СП 10
Способ устранения

Компенсирующие меры:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.

Использование рекомендаций:
Для FasterXML:
https://github.com/FasterXML/jackson-databind/commit/d78d00ee7b5245b93103fef3187f70543d67ca33
https://github.com/FasterXML/jackson-databind/issues/3590

Для Debian:
https://lists.debian.org/debian-lts-announce/2022/11/msg00035.html
https://www.debian.org/security/2022/dsa-5283

Для Netapp:
https://security.netapp.com/advisory/ntap-20221124-0004/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения jackson-databind до версии 2.9.8-3+deb10u4

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=51020https://github.com/FasterXML/jackson-databind/commit/d78d00ee7b5245b93103fef3187f70543d67ca33https://github.com/FasterXML/jackson-databind/issues/35https://lists.debian.org/debian-lts-announce/2022/11/msg00035.htmlhttps://www.debian.org/security/2022/dsa-5283https://security.gentoo.org/glsa/202210-21https://security.netapp.com/advisory/ntap-20221124-0004/https://www.cybersecurity-help.cz/vdb/SB2023070708
Проверьте безопасность своего сайта и почты → Полная проверка домена