7.6высокая
BDU:2024-00113 (CVE-2020-35491)
Уязвимость библиотеки jackson-databind, связанная с восстановлением в памяти недостоверных данных, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-01-10
Описание
Уязвимость библиотеки jackson-databind связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Затрагиваемое ПО и версии
Application Testing Suite (13.3.0.1)Debian GNU/Linux (10)Red Hat OpenStack Platform (10.0 (Newton))Red Hat OpenStack Platform (13.0 (Queens))Red Hat JBoss Data Virtualization (6)Red Hat BPM Suite (6)Oracle Agile PLM (9.3.6)Red Hat JBoss Data Grid (7)Insurance Policy Administration J2EE (11.0.2)Oracle Communications Evolved Communications Application Server (7.1)Oracle Retail Merchandising System (15.0.3)Oracle SD-WAN Edge (9.0)Oracle Communications Services Gatekeeper (7.0)Oracle Banking Platform (2.7.0)Oracle Banking Platform (2.7.1)Oracle Banking Platform (2.8.0)Oracle Banking Platform (2.9.0)Debian GNU/Linux (11)Debian GNU/Linux (12)Oracle Retail Xstore Point of Service (16.0.6)Oracle Retail Xstore Point of Service (17.0.4)Oracle Retail Xstore Point of Service (18.0.3)Oracle Retail Xstore Point of Service (19.0.2)Oracle Banking Virtual Account Management (14.2)Oracle Banking Virtual Account Management (14.3)Oracle Banking Virtual Account Management (14.5)Red Hat JBoss BRMS (6)Red Hat JBoss Fuse Service Works (6)Oracle WebCenter Portal (12.2.1.3.0)Oracle WebCenter Portal (12.2.1.4.0)
Способ устранения
Использование рекомендаций:
Для FasterXML:
https://github.com/FasterXML/jackson-databind/issues/2986
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-35491
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2020-35491
Для программных продуктов NetApp Inc.:
https://security.netapp.com/advisory/ntap-20210122-0005/
Для программных продуктов Oracle Corp.:
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuApr2021.html
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpujul2022.html
https://www.oracle.com/security-alerts/cpuoct2021.html
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения jackson-databind до версии 2.9.8-3+deb10u3
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2420
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629
Оценка CVSS
| Балл | 7.6 — высокая опасность |
Источники и патчи