公告ID(KYSA-202110-1029)
公告ID:KYSA-202110-1029
公告摘要:jackson-databind安全漏洞
等級(jí):Important
發(fā)布日期:2021-10-16
詳細(xì)介紹
1.修復(fù)的CVE
·CVE-2020-35490
描述:FasterXML jackson-databind是一個(gè)基于JAVA可以將XML和JSON等數(shù)據(jù)格式與JAVA對(duì)象進(jìn)行轉(zhuǎn)換的庫(kù)���。Jackson可以輕松的將Java對(duì)象轉(zhuǎn)換成json對(duì)象和xml文檔�����,同樣也可以將json、xml轉(zhuǎn)換成Java對(duì)象��。FasterXML jackson-databind 2.x before 2.9.10.8 存在代碼問(wèn)題漏洞�,該漏洞源于錯(cuò)誤地處理了序列化小工具和類(lèi)型之間的交互,這與org.apache.commons.dbcp2.datasources.PerUserPoolDataSource有關(guān)�����。
·CVE-2020-35491
描述:FasterXML jackson-databind是一個(gè)基于JAVA可以將XML和JSON等數(shù)據(jù)格式與JAVA對(duì)象進(jìn)行轉(zhuǎn)換的庫(kù)����。Jackson可以輕松的將Java對(duì)象轉(zhuǎn)換成json對(duì)象和xml文檔,同樣也可以將json��、xml轉(zhuǎn)換成Java對(duì)象�。FasterXML jackson-databind 2.x系列2.9.10.8之前版本存在代碼問(wèn)題漏洞,該漏洞源于錯(cuò)誤地處理了序列化小工具和類(lèi)型之間的交互�����,這與org.apache.commons.dbcp2.datasources.SharedPoolDataSource有關(guān)。
·CVE-2020-35728
描述:FasterXML jackson-databind是一個(gè)基于JAVA可以將XML和JSON等數(shù)據(jù)格式與JAVA對(duì)象進(jìn)行轉(zhuǎn)換的庫(kù)����。Jackson可以輕松的將Java對(duì)象轉(zhuǎn)換成json對(duì)象和xml文檔�����,同樣也可以將json�����、xml轉(zhuǎn)換成Java對(duì)象�。FasterXML jackson-databind 2.x版本至2.9.10.8版本存在代碼問(wèn)題漏洞,該漏洞源于錯(cuò)誤地處理了序列化小工具和類(lèi)型之間的交互���,涉及到com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool (aka embedded Xalan in org.glassfish.web/javax.servlet.jsp.jstl)�����。
·CVE-2020-36179
描述:FasterXML jackson-databind版本 2.x 至版本 2.9.10.8 中沒(méi)能妥善處理序列化工具之間的互動(dòng)和打字,oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS有關(guān)���。
·CVE-2020-36180
描述:FasterXML jackson-databind 2.x before 2.9.10.8 存在代碼問(wèn)題漏洞,該漏洞源于org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS錯(cuò)誤地處理serialization gadgets 和 typing的交互��。
·CVE-2020-36181
描述:FasterXML jackson-databind 版本 2.x 至版本 2.9.10.8 中存在代碼問(wèn)題漏洞,該漏洞源于處理org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS相關(guān)的序列化小工具與輸入交互錯(cuò)誤����。
·CVE-2020-36182
描述:FasterXML jackson-databind 2.x 在2.9.10.8之前 存在代碼問(wèn)題漏洞,該漏洞源于org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS處理序列化小工具與類(lèi)型交互錯(cuò)誤���。
·CVE-2020-36183
描述:FasterXML jackson-databind 2.x 在 2.9.10.8 之前存在代碼問(wèn)題漏洞����,該漏洞源于該軟件org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool相關(guān)的序列化小工具與輸入交互處理錯(cuò)誤�����。
·CVE-2020-36184
描述:FasterXML jackson-databind版本 2.x 至版本 2.9.10.8 中沒(méi)能妥善處理序列化工具之間的互動(dòng)和打字,org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource有關(guān)�。
·CVE-2020-36185
描述:FasterXML jackson-databind是一個(gè)基于JAVA可以將XML和JSON等數(shù)據(jù)格式與JAVA對(duì)象進(jìn)行轉(zhuǎn)換的庫(kù)。Jackson可以輕松的將Java對(duì)象轉(zhuǎn)換成json對(duì)象和xml文檔����,同樣也可以將json、xml轉(zhuǎn)換成Java對(duì)象�。FasterXML jackson-databind 2.x before 2.9.10.8 存在代碼問(wèn)題漏洞,該漏洞源于org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource錯(cuò)誤地處理serialization gadgets 和 typing的交互�����。
·CVE-2020-36186
描述:FasterXML jackson-databind 版本 2.x 至版本 2.9.10.8 中存在代碼問(wèn)題漏洞,該漏洞源于錯(cuò)誤地處理了與org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS相關(guān)的序列化小工具和鍵入之間的交互��。
·CVE-2020-36187
描述:FasterXML jackson-databind 中存在代碼問(wèn)題漏洞�����,該漏洞源于該軟件處理org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource相關(guān)的序列化小工具與類(lèi)型交互錯(cuò)誤���。
·CVE-2020-36188
描述:FasterXML jackson-databind版本 2.x 至版本 2.9.10.8 中對(duì)com.newrelic.agent. des.ch.qs.logback.core.db.jndiconnectionsource相關(guān)的序列化小工具與類(lèi)型的交互處理錯(cuò)誤。
·CVE-2020-36189
描述:FasterXML jackson-databind是一個(gè)基于JAVA可以將XML和JSON等數(shù)據(jù)格式與JAVA對(duì)象進(jìn)行轉(zhuǎn)換的庫(kù)�。Jackson可以輕松的將Java對(duì)象轉(zhuǎn)換成json對(duì)象和xml文檔,同樣也可以將json��、xml轉(zhuǎn)換成Java對(duì)象�。 FasterXML jackson-databind 2.x before 2.9.10.8 存在代碼問(wèn)題漏洞,該漏洞源于com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource錯(cuò)誤地處理serialization gadgets 和 typing的交互�����。
·CVE-2021-20190
描述:FasterXML jackson-databind是一個(gè)基于JAVA可以將XML和JSON等數(shù)據(jù)格式與JAVA對(duì)象進(jìn)行轉(zhuǎn)換的庫(kù)�。Jackson可以輕松的將Java對(duì)象轉(zhuǎn)換成json對(duì)象和xml文檔,同樣也可以將json����、xml轉(zhuǎn)換成Java對(duì)象����。 jackson-databind before 2.9.10.7 存在代碼問(wèn)題漏洞����,該漏洞源于fastxml錯(cuò)誤地處理了序列化小部件和類(lèi)型之間的交互。
2.受影響的軟件包
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP2
·aarch64架構(gòu):
jackson-databind��、jackson-databind-javadoc
·x86_64架構(gòu):
jackson-databind���、jackson-databind-javadoc
3.軟件包修復(fù)版本
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP2 (aarch64�����、x86_64)
jackson-databind-2.9.8-7.ky10或以上版本
jackson-databind-javadoc-2.9.8-7.ky10或以上版本
4.修復(fù)方法
方法一:配置源進(jìn)行升級(jí)安裝
1.打開(kāi)軟件包源配置文件�����,根據(jù)倉(cāng)庫(kù)地址進(jìn)行修改�����。
倉(cāng)庫(kù)源地址:
銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP2
aarch64:https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/
x86_64:https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/
2.配置完成后執(zhí)行更新命令進(jìn)行升級(jí)�,命令如下:
yum update Packagename
方法二:下載安裝包進(jìn)行升級(jí)安裝
通過(guò)軟件包地址下載軟件包����,使用軟件包升級(jí)命令根據(jù)受影響的軟件包
列表進(jìn)行升級(jí)安裝, 命令如下:
yum install Packagename
3.升級(jí)完成后是否需要重啟服務(wù)或操作系統(tǒng):
CVE-2020-35490:需要重啟 jackson-databind 以使漏洞修復(fù)生效���。
CVE-2020-35491:需要重啟 jackson-databind 以使漏洞修復(fù)生效。
CVE-2020-35728:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2020-36179:需要重啟 jackson-databind 以使漏洞修復(fù)生效��。
CVE-2020-36180:需要重啟 jackson-databind 以使漏洞修復(fù)生效�����。
CVE-2020-36181:需要重啟 jackson-databind 以使漏洞修復(fù)生效。
CVE-2020-36182:需要重啟 jackson-databind 以使漏洞修復(fù)生效��。
CVE-2020-36183:需要重啟 jackson-databind 以使漏洞修復(fù)生效�。
CVE-2020-36184:需要重啟 jackson-databind 以使漏洞修復(fù)生效。
CVE-2020-36185:需要重啟 jackson-databind 以使漏洞修復(fù)生效��。
CVE-2020-36186:需要重啟 jackson-databind 以使漏洞修復(fù)生效�����。
CVE-2020-36187:需要重啟 jackson-databind 以使漏洞修復(fù)生效����。
CVE-2020-36188:需要重啟 jackson-databind 以使漏洞修復(fù)生效�。
CVE-2020-36189:需要重啟 jackson-databind 以使漏洞修復(fù)生效��。
CVE-2021-20190:需要重啟 jackson-databind 以使漏洞修復(fù)生效���。
5.軟件包下載地址
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP2
jackson-databind(aarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/jackson-databind-2.9.8-7.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/jackson-databind-javadoc-2.9.8-7.ky10.noarch.rpm
jackson-databind(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/jackson-databind-2.9.8-7.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/jackson-databind-javadoc-2.9.8-7.ky10.noarch.rpm
注:其他相關(guān)依賴包請(qǐng)到相同目錄下載
6.修復(fù)驗(yàn)證
使用軟件包查詢命令�����,查看相關(guān)軟件包版本是否與修復(fù)版本一致��,如果版本一致�,則說(shuō)明修復(fù)成功��。
sudo rpm -qa | grep Packagename
