偵測

Ubuntu 16.04 ESM:Jackson Databind 弱點 (USN-4813-1)

critical Nessus Plugin ID 183541

語系:

概要

遠端 Ubuntu 主機缺少一個或多個安全性更新。

說明

遠端 Ubuntu 16.04 ESM 主機上安裝的一個套件受到 USN-4813-1 公告中提及的多個弱點影響。

 - 在 FasterXML jackson-databind 2.0.0 至 2.9.5 版本中發現一個問題。將 Jackson 預設輸入與 iBatis 的小工具類別一起使用時,可允許發生內容洩漏。已在 2.7.9.4、2.8.11.2 和 2.9.6 版中修正。(CVE-2018-11307)

 - 在 FasterXML jackson-databind 2.7.9.4、2.8.11.2 以及 2.9.6 版本中發現一個問題。當啟用 Default Typing (全域或針對特定屬性) 時,攻擊者可以透過提供 LDAP 服務來進行存取該服務類別路徑中的 Jodd-db jar (用於 Jodd 框架的資料庫存取),從而可能使該服務執行惡意負載。(CVE-2018-12022)

 - 在 FasterXML jackson-databind 2.7.9.4、2.8.11.2 以及 2.9.6 版本中發現一個問題。當啟用 Default Typing (全域或針對特定屬性) 時,攻擊者可以透過提供 LDAP 服務來進行存取該服務類別路徑中的 Oracle JDBC jar,從而可能使該服務執行惡意負載。(CVE-2018-12023)

 - FasterXML jackson-databind 2.x 至 2.9.7 版本允許遠端攻擊者利用無法封鎖來自多型還原序列化的 slf4j-ext 類別,執行任意程式碼。(CVE-2018-14718)

 - FasterXML jackson-databind 2.x 至 2.9.7 版本可能允許遠端攻擊者利用無法封鎖來自多型還原序列化的 blaze-ds-opt 和 blaze-ds-core 類別,執行任意程式碼。
 (CVE-2018-14719)

 - FasterXML jackson-databind 2.x 至 2.9.7 版本可能允許攻擊者透過利用無法封鎖來自多型還原序列化的不明 JDK 類別,造成不明影響。
 (CVE-2018-14720)

 - FasterXML jackson-databind 2.x 至 2.9.7 版本可能允許遠端攻擊者利用無法封鎖來自多型還原序列化的 axis2-jaxws 類別,執行伺服器端要求偽造 (SSRF) 攻擊。(CVE-2018-14721)

 - FasterXML jackson-databind 2.x 至 2.9.8 版本可能允許攻擊者透過利用無法封鎖來自多型還原序列化的 axis2-transport-jms 類別,造成不明影響。(CVE-2018-19360)

 - FasterXML jackson-databind 2.x 至 2.9.8 版本可能允許攻擊者透過利用無法封鎖來自多型還原序列化的 openjpa 類別,造成不明影響。(CVE-2018-19361)

 - FasterXML jackson-databind 2.x 至 2.9.8 版本可能允許攻擊者透過利用無法封鎖來自多型還原序列化的 jboss-common-core 類別,造成不明影響。(CVE-2018-19362)

 - 在 FasterXML jackson-databind 2.x 至 2.9.9 版本中發現一個多型態輸入問題。為外部公開的 JSON 端點啟用「預設輸入」(全域或針對特定屬性) 時,該服務在類別路徑中具有 mysql-connector-java jar (8.0.14 或更早版本),攻擊者可以託管受害者可存取的特製 MySQL 伺服器、攻擊者可以傳送特製的 JSON 資訊,允許其讀取伺服器上的任意本機檔案。這是因為缺少 com.mysql.cj.jdbc.admin.MiniAdmin 驗證所致。(CVE-2019-12086)

 - FasterXML jackson-databind 2.x 的 2.9.9.1 之前版本可能允許攻擊者利用無法阻止 logback-core 類別多型還原序列化的故障,來造成各種影響。視類別路徑內容而定,可能會導致遠端程式碼執行。(CVE-2019-12384)

 - 在 FasterXML jackson-databind 2.x 至 2.9.9 中發現多型態輸入問題。為外部公開的 JSON 端點啟用「預設輸入」(全域或針對特定屬性) 時,且該服務在類別路徑中具有 JDOM 1.x 或 2.x 時,攻擊者可以傳送特製的 JSON 訊息,讓他們可以讀取伺服器上的任意本機檔案。(CVE-2019-12814)

 - 在 FasterXML jackson-databind 2.9.9.2 之前版本中,SubTypeValidator.java 在使用 ehcache 時未正確處理預設輸入 (因為 net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup),進而導致遠端程式碼執行。(CVE-2019-14379)

 - 在 FasterXML jackson-databind 2.x 至 2.9.9.2 版本中發現一個多型態輸入問題。當針對外部公開的 JSON 端點啟用「預設輸入」(全域或針對特定內容),且服務在類別路徑中有 logback jar 時,會發生此情況。(CVE-2019-14439)

 - 在 FasterXML jackson-databind 2.9.10 之前版本中發現多型態輸入問題。這與 com.zaxxer.hikari.HikariConfig 有關。(CVE-2019-14540)

 - 在 FasterXML jackson-databind 2.9.10 之前版本中發現多型態輸入問題。這與 com.zaxxer.hikari.HikariDataSource 有關。此弱點與 CVE-2019-14540 不同。
 (CVE-2019-16335)

 - 在 FasterXML jackson-databind 2.0.0 至 2.9.10 中發現多型態輸入問題。當針對外部公開的 JSON 端點啟用預設分型 (全域或針對特定屬性),且服務在類別路徑中具有 commons-dbcp (1.4) jar 時,如果攻擊者可找到要存取的 RMI 服務端點,則可能會使服務執行惡意承載。產生此問題的原因是,org.apache.commons.dbcp.datasources.SharedPoolDataSource 和 org.apache.commons.dbcp.datasources.PerUserPoolDataSource 處理不正確。(CVE-2019-16942)

 - 在 FasterXML jackson-databind 2.0.0 至 2.9.10 中發現多型態輸入問題。當針對外部公開的 JSON 端點啟用預設分型 (全域或特定內容),且服務在類別路徑中具有 p6spy (3.8.6) jar 時,如果攻擊者可找到要存取的 RMI 服務端點,則可能會使服務執行惡意承載。此問題之所以存在,是因為 com.p6spy.engine.spy.P6DataSource 處理不當。(CVE-2019-16943)

 - 在 FasterXML jackson-databind 2.9.10 之前版本中發現多型態輸入問題。該問題與 net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup 有關。(CVE-2019-17267)

 - 在 FasterXML jackson-databind 2.0.0 至 2.9.10 中發現多型態輸入問題。當針對外部公開的 JSON 端點啟用預設分型 (全域或針對特定屬性),且服務在類別路徑中具有 apache-log4j-extra (1.2.x 版本) jar 時,如果攻擊者可提供 JNDI 服務端點,則可能會使服務執行惡意承載。(CVE-2019-17531)

 - FasterXML jackson-databind 2.x 至 2.9.10.2 版本缺少特定 net.sf.ehcache 封鎖。(CVE-2019-20330)

 - FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與輸入之間的互動,此問題與 org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory (即 aries.transaction.jms) 相關。(CVE-2020-10672)

 - FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與輸入之間的互動,此問題與 com.caucho.config.types.ResourceRef (即 caucho-quercus) 相關。(CVE-2020-10673)

 - FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與輸入之間的互動,此問題與 org.aoju.bus.proxy.provider.remoting.RmiProvider 有關 (即 bus-proxy)。(CVE-2020-10968)

 - FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與輸入之間的互動,此問題與 javax.swing.JEditorPane 有關。(CVE-2020-10969)

 - FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與輸入之間的互動,此問題與 org.apache.activemq 有關 * (即 activemq-jms、activemq-core、activemq-pool 和 activemq-pool-jms)。(CVE-2020-11111)

 - FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與輸入之間的互動,此問題與 org.apache.commons.proxy.provider.remoting.RmiProvider 有關 (即 apache/commons-proxy)。
 (CVE-2020-11112)

 - FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與輸入之間的互動,此問題與 rg.apache.openjpa.ee.WASRegistryManagedRuntime 有關 (即 openjpa)。(CVE-2020-11113)

 - FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與輸入之間的互動,此問題與 org.springframework.aop.config.MethodLocatingFactoryBean 有關 (即 spring-aop)。
 (CVE-2020-11619)

 - FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與輸入之間的互動,此問題與 org.apache.commons.jelly.impl.Embedded 有關 (即 commons-jelly)。(CVE-2020-11620)

 - FasterXML jackson-databind 2.x 至 2.9.10.5 版本會錯誤處理序列化小工具與輸入之間的互動,此問題涉及 oadd.org.apache.xalan.lib.sql.JNDIConnectionPool (即 apache/drill)。
 (CVE-2020-14060)

 - FasterXML jackson-databind 2.x 至 2.9.10.5 版本會不當處理序列化小工具與輸入之間的互動,此問題涉及 oracle.jms.AQjmsQueueConnectionFactory、oracle.jms.AQjmsXAtopicConnectionFactory、oracle.jms.AQjmstopicConnectionFactory、oracle.jms.AQjmsXAQueueConnectionFactory 和 oracle.jms.AQjmsXAConnectionFactory (即 weblogic/oracle-aqjms)。(CVE-2020-14061)

 - FasterXML jackson-databind 2.x 至 2.9.10.5 版本會錯誤處理序列化小工具與輸入之間的互動,此問題涉及 com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool (即 xalan2)。
 (CVE-2020-14062)

 - FasterXML jackson-databind 2.x 至 2.9.10.5 版本會錯誤處理序列化小工具與輸入之間的互動,此問題涉及 org.jsecurity.realm.jndi.JndiRealmFactory (即 org.jsecurity)。(CVE-2020-14195)

 - FasterXML jackson-databind 2.0.0 至 2.9.10.2 版本缺少特定 xbean-reflect/JNDI 封鎖,org.apache.xbean.propertyeditor.JndiConverter 即為一例。(CVE-2020-8840)

 FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與輸入之間的互動,此問題與 org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig (即陰影 hikari-config) 相關。
 (CVE-2020-9546)

 - FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與類型之間的互動,此問題與 com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig (即 ibatis-sqlmap) 相關。
 (CVE-2020-9547)

 FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與輸入之間的互動,此問題與 br.com.anteros.dbcp.AnterosDBCPConfig (即 anteros-core) 相關。(CVE-2020-9548)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 libjackson2-databind-java 套件。

另請參閱

https://ubuntu.com/security/notices/USN-4813-1

Plugin 詳細資訊

嚴重性: Critical

ID: 183541

檔案名稱: ubuntu_USN-4813-1.nasl

版本: 1.1

類型: local

代理程式: unix

已發布: 2023/10/20

已更新: 2023/10/21

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: High

分數: 7.3

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 6.2

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2020-8840

CVSS v3

風險因素: Critical

基本分數: 10

時間分數: 9.3

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:F/RL:O/RC:C

CVSS 評分資料來源: CVE-2018-14721

弱點資訊

CPE: p-cpe:/a:canonical:ubuntu_linux:libjackson2-databind-java, cpe:/o:canonical:ubuntu_linux:16.04:-:esm

必要的 KB 項目: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2021/3/15

弱點發布日期: 2018/5/10

參考資訊

CVE: CVE-2018-11307, CVE-2018-12022, CVE-2018-12023, CVE-2018-14718, CVE-2018-14719, CVE-2018-14720, CVE-2018-14721, CVE-2018-19360, CVE-2018-19361, CVE-2018-19362, CVE-2019-12086, CVE-2019-12384, CVE-2019-12814, CVE-2019-14379, CVE-2019-14439, CVE-2019-14540, CVE-2019-16335, CVE-2019-16942, CVE-2019-16943, CVE-2019-17267, CVE-2019-17531, CVE-2019-20330, CVE-2020-10672, CVE-2020-10673, CVE-2020-10968, CVE-2020-10969, CVE-2020-11111, CVE-2020-11112, CVE-2020-11113, CVE-2020-11619, CVE-2020-11620, CVE-2020-14060, CVE-2020-14061, CVE-2020-14062, CVE-2020-14195, CVE-2020-8840, CVE-2020-9546, CVE-2020-9547, CVE-2020-9548

USN: 4813-1