BDU:2020-04626
ООО «Ред Софт», Red Hat Inc., АО «Концерн ВНИИНС», FasterXML, LLC, Сообщество свободного программног Oracle Communications Contacts Server, Astra Linux Common Edition, ОС ОН «Стрелец», Red Hat JBoss Fu
2020-07-18
Уязвимость компонента com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool библиотеки Jackson-databind проекта FasterXML связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для Jackson-databind: https://github.com/FasterXML/jackson-databind/issues/2704
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2020-14062
Для Debian GNU/Linux: https://lists.debian.org/debian-lts-announce/2020/07/msg00001.html
Для программных продуктов Oracle: https://www.oracle.com/security-alerts/cpujan2021.html
Для Astra Linux: Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии
Для ОС ОН «Стрелец»: Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/