Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2021-01382

CVSS: 9.8

10.12.2017

Уязвимость метода readValue класса ObjectMapper библиотеки Jackson-databind, связанная с восстановлением в памяти недостоверной структуры данных, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Уязвимость метода readValue класса ObjectMapper библиотеки Jackson-databind связана с некорректной проверкой входных данных до попытки их десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	10.12.2017
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Манипулирование структурами данных
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для Jackson-databind: Обновление программного обеспечения до 2.12.1-1 или более поздней версии Для Debian: Обновление программного обеспечения (пакета jackson-databind) до 2.9.8-3+deb10u1 или более поздней версии Для Astra Linux: Обновление программного обеспечения (пакета jackson-databind) до 2.9.8-3+deb10u1 или более поздней версии Для программных продуктов Red Hat Inc.: https://access.redhat.com/errata/RHSA-2018:0116 https://access.redhat.com/errata/RHSA-2018:0342 https://access.redhat.com/errata/RHSA-2018:0478 https://access.redhat.com/errata/RHSA-2018:0479 https://access.redhat.com/errata/RHSA-2018:0480 https://access.redhat.com/errata/RHSA-2018:0481 https://access.redhat.com/errata/RHSA-2018:1447 https://access.redhat.com/errata/RHSA-2018:1448 https://access.redhat.com/errata/RHSA-2018:1449 https://access.redhat.com/errata/RHSA-2018:1450 https://access.redhat.com/errata/RHSA-2018:1451 https://access.redhat.com/errata/RHSA-2018:2930 https://access.redhat.com/errata/RHSA-2019:1782 https://access.redhat.com/errata/RHSA-2019:1797 https://access.redhat.com/errata/RHSA-2019:2858 https://access.redhat.com/errata/RHSA-2019:3149 https://access.redhat.com/errata/RHSA-2019:3892

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-502	Десериализация недоверенных данных

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2017-17485	FasterXML jackson-databind through 2.8.10 and 2.9.x through 2.9.3 allows unauthenticated remote code execution because of an...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
7.5	HIGH	2.0	AV:N/AC:L/Au:N/C:P/I:P/A:P
9.8	HIGH	3.0	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2017-17485

Вендор:	Сообщество свободного программного обеспечения ООО «РусБИТех-Астра» Red Hat Inc. FasterXML, LLC
Тип ПО:	Операционная система Прикладное ПО информационных систем
Наименование ПО:	Debian GNU/Linux Astra Linux Common Edition OpenShift Container Platform JBoss Enterprise Application Platform Jboss Operations Network Jboss Fuse Red Hat Software Collections Jackson-databind
Версия ПО:	9 (Debian GNU/Linux) 2.12 «Орёл» (Astra Linux Common Edition) 4.1 (OpenShift Container Platform) 3.11 (OpenShift Container Platform) 6.4 (JBoss Enterprise Application Platform) 3.3 (Jboss Operations Network) 7 (Jboss Fuse) 10 (Debian GNU/Linux) - (Red Hat Software Collections) 7 (JBoss Enterprise Application Platform) 7.1 for RHEL 6 (JBoss Enterprise Application Platform) 6 (JBoss Enterprise Application Platform) 6.4 for RHEL 5 (JBoss Enterprise Application Platform) 6.4 for RHEL 6 (JBoss Enterprise Application Platform) от 2.6.0 до 2.6.7.3 (Jackson-databind) от 2.7.0 до 2.7.9.2 (Jackson-databind) от 2.8.0 до 2.8.11 (Jackson-databind) от 2.9.0 до 2.9.4 (Jackson-databind)
ОС и аппаратные платформы:	Debian GNU/Linux (9) Astra Linux Common Edition (2.12 «Орёл») Debian GNU/Linux (10)
Ссылки на источники:	https://nvd.nist.gov/vuln/detail/CVE-2017-17485 https://security-tracker.debian.org/tracker/CVE-2017-17485 https://bugzilla.redhat.com/show_bug.cgi?id=1528565#c0 https://github.com/FasterXML/jackson-databind/issues/1855 https://access.redhat.com/errata/RHSA-2018:0116 https://access.redhat.com/errata/RHSA-2018:0342 https://access.redhat.com/errata/RHSA-2018:0478 https://access.redhat.com/errata/RHSA-2018:0479 https://access.redhat.com/errata/RHSA-2018:0480 https://access.redhat.com/errata/RHSA-2018:0481 https://access.redhat.com/errata/RHSA-2018:1447 https://access.redhat.com/errata/RHSA-2018:1448 https://access.redhat.com/errata/RHSA-2018:1449 https://access.redhat.com/errata/RHSA-2018:1450 https://access.redhat.com/errata/RHSA-2018:1451 https://access.redhat.com/errata/RHSA-2018:2930 https://access.redhat.com/errata/RHSA-2019:1782 https://access.redhat.com/errata/RHSA-2019:1797 https://access.redhat.com/errata/RHSA-2019:2858 https://access.redhat.com/errata/RHSA-2019:3149 https://access.redhat.com/errata/RHSA-2019:3892 https://access.redhat.com/security/cve/CVE-2017-17485 https://github.com/FasterXML/jackson-databind/issues/1855 https://github.com/irsl/jackson-rce-via-spel/

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2021-01382

BDU:2021-01382

Идентификатор типа ошибки

Идентификаторы CVE уязвимостей

CVSS

Идентификаторы других систем описаний уязвимостей