检测

Ubuntu 16.04 ESM:Jackson Databind 漏洞 (USN-4813-1)

critical Nessus 插件 ID 183541

语言:

简介

远程 Ubuntu 主机缺少一个或多个安全更新。

描述

远程 Ubuntu 16.04 ESM 主机上安装的一个程序包受到 USN-4813-1 公告中提及的多个漏洞影响。

 - 在 FasterXML jackson-databind 2.0.0 至 2.9.5 中发现一个问题。使用 Jackson 默认类型以及 iBatis 中的小工具类可以泄露内容。已在 2.7.9.4、2.8.11.2 和 2.9.6 版中修复。(CVE-2018-11307)

 - 在 FasterXML jackson-databind 2.7.9.4、2.8.11.2 和 2.9.6 之前的版本中发现一个问题。如果启用了默认类型(全局或特定属性均可),且服务的类路径中包含 Jodd-db jar(用于 Jodd 框架的数据库访问),并且攻击者可以提供要访问的 LDAP 服务,就可能使服务执行恶意有效负载。(CVE-2018-12022)

 - 在 FasterXML jackson-databind 2.7.9.4、2.8.11.2 和 2.9.6 之前的版本中发现一个问题。如果启用了默认类型(全局或特定属性均可),且服务的类路径中包含 Oracle JDBC jar,并且攻击者可以提供要访问的 LDAP 服务,就可能使服务执行恶意有效负载。(CVE-2018-12023)

 - FasterXML jackson-databind 2.9.7 之前的版本 2.x 可允许远程攻击者利用无法封锁来自多型反序列化的 slf4j-ext 类,执行任意代码。(CVE-2018-14718)

 - FasterXML jackson-databind 2.9.7 之前的版本 2.x 可允许远程攻击者利用无法封锁来自多型反序列化的 blaze-ds-opt 和 blaze-ds-core 类,执行任意代码。
 (CVE-2018-14719)

 - FasterXML jackson-databind 2.9.7 之前的版本 2.x 可允许攻击者利用无法封锁来自多型反序列化的未知 JDK 类,执行外部 XML 实体 (XXE) 攻击。
 (CVE-2018-14720)

 - FasterXML jackson-databind 2.9.7 之前的版本 2.x 可允许远程攻击者利用无法封锁来自多型反序列化的 axis2-jaxws 类,执行服务器端请求伪造 (SSRF) 攻击。(CVE-2018-14721)

 - FasterXML jackson-databind 2.9.8 之前的版本 2.x 可允许攻击者利用无法封锁来自多型反序列化的 axis2-transport-jms 类,造成不明影响。(CVE-2018-19360)

 - FasterXML jackson-databind 2.9.8 之前的版本 2.x 可允许攻击者利用无法封锁来自多型反序列化的 openjpa 类,造成不明影响。(CVE-2018-19361)

 - FasterXML jackson-databind 2.9.8 之前的版本 2.x 可允许攻击者利用无法封锁来自多型反序列化的 jboss-common-core 类,造成不明影响。(CVE-2018-19362)

 - 在 2.x 之前的 2.9.9 版本 FasterXML jackson-databind 中发现了一个多态分型问题。当对外公开的 JSON 端点启用了默认分型(全局或特定属性均可)、该服务在类路径中拥有 mysql-connector-java jar(8.0.14 或更早版本),且攻击者能够托管受害者可读的特制 MySQL 服务器时,攻击者可能会发送特制的 JSON 消息造成读取服务器上的任意本地文件。这是由于缺少 com.mysql.cj.jdbc.admin.MiniAdmin 验证所致。(CVE-2019-12086)

 - FasterXML jackson-databind 2.9.9.1 之前的版本 2.x 可允许攻击者利用无法封锁来自多型反序列化的 logback-core 类,造成多种影响。根据类路径内容,可能存在远程代码执行。(CVE-2019-12384)

 - 在 FasterXML jackson-databind 2.x 至 2.9.9 中发现多态分型问题。当对外公开的 JSON 端点启用了默认分型(全局或特定属性均可)且该服务在类路径中拥有 JDOM 1.x 或 2.x 时,攻击者可能会发送特别构建的 JSON 消息造成读取服务器上的任意本地文件。(CVE-2019-12814)

 - 2.9.9.2 之前 FasterXML jackson-databind 中的 SubTypeValidator.java 在使用 ehcache 时错误处理了默认类型(因为 net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup),导致远程代码执行。(CVE-2019-14379)

 - 在 2.x 之前的 2.9.9.2 版本 FasterXML jackson-databind 中发现了一个多态分型问题。当为外部公开的 JSON 端点启用默认类型(全局或针对特定属性)并且服务在类路径中具有 logback jar 时,会发生这种情况。(CVE-2019-14439)

 - 在 2.9.10 之前的 FasterXML jackson-databind 中发现了一个多态分型问题。此问题与 com.zaxxer.hikari.HikariConfig 有关。(CVE-2019-14540)

 - 在 2.9.10 之前的 FasterXML jackson-databind 中发现了一个多态分型问题。此问题与 com.zaxxer.hikari.HikariDataSource 有关。此漏洞与 CVE-2019-14540 不同。
 (CVE-2019-16335)

 - 在 FasterXML jackson-databind 2.0.0 至 2.9.10 中发现多态分型问题。当对外公开的 JSON 端点启用了默认分型(全局或特定属性均可),且该服务在类路径中拥有 commons-dbcp (1.4) jar 时,如果攻击者可找到要访问的 RMI 服务端点,就可能使服务执行恶意有效负载。存在此问题的原因是未正确处理 org.apache.commons.dbcp.datasources.SharedPoolDataSource 和 org.apache.commons.dbcp.datasources.PerUserPoolDataSource。(CVE-2019-16942)

 - 在 FasterXML jackson-databind 2.0.0 至 2.9.10 中发现多态分型问题。当对外公开的 JSON 端点启用了默认分型(全局或特定属性均可),且该服务在类路径中拥有 p6spy (3.8.6) jar 时,如果攻击者可找到要访问的 RMI 服务端点,就可能使服务执行恶意有效负载。存在此问题的原因是 com.p6spy.engine.spy.P6DataSource 的错误处理。(CVE-2019-16943)

 - 在 2.9.10 之前的 FasterXML jackson-databind 中发现了一个多态分型问题。它与 net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup 相关。 (CVE-2019-17267)

 - 在 FasterXML jackson-databind 2.0.0 至 2.9.10 中发现多态分型问题。当对外公开的 JSON 端点启用了默认分型(全局或特定属性均可),且该服务在类路径中拥有 apache-log4j-extra(版本 1.2.x)jar 时,如果攻击者可提供要访问的 JNDI 服务,就可能使服务执行恶意有效负载。(CVE-2019-17531)

 - 2.9.10.2 之前的 2.x 版本 FasterXML jackson-databind 缺乏某些 net.sf.ehcache 阻断。(CVE-2019-20330)

 - 2.9.10.4 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互,该漏洞与 org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory(又称 aries.transaction.jms)相关。(CVE-2020-10672)

 - 2.9.10.4 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的互动,该漏洞与 com.caucho.config.types.ResourceRef(又称 caucho-quercus)相关。(CVE-2020-10673)

 - 2.9.10.4 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互,该漏洞与 org.aoju.bus.proxy.provider.remoting.RmiProvider(又称 bus-proxy)有关。(CVE-2020-10968)

 - 2.9.10.4 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互,该漏洞与 javax.swing.JEditorPane 有关。(CVE-2020-10969)

 - 2.9.10.4 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互,该漏洞与 org.apache.activemq 有关。*(又称 activemq-jms、activemq-core、activemq-pool 和 activemq-pool-jms)。(CVE-2020-11111)

 - 2.9.10.4 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互,该漏洞与 org.apache.commons.proxy.provider.remoting.RmiProvider(又称 apache/commons-proxy)有关。
 (CVE-2020-11112)

 - 2.9.10.4 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互,该漏洞与 org.apache.openjpa.ee.WASRegistryManagedRuntime(又称 openjpa)有关。(CVE-2020-11113)

 - 2.9.10.4 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互,该漏洞与 org.springframework.aop.config.MethodLocatingFactoryBean(又称 spring-aop)有关。
 (CVE-2020-11619)

 - 2.9.10.4 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互,该漏洞与 org.apache.commons.jelly.impl.Embedded(又称 commons-jelly)有关。(CVE-2020-11620)

 - 2.9.10.5 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互,该漏洞与 oadd.org.apache.xalan.lib.sql.JNDIConnectionPool(又称 apache/drill)有关。
 (CVE-2020-14060)

 - 2.9.10.5 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互,该漏洞与 oracle.jms.AQjmsQueueConnectionFactory、oracle.jms.AQjmsXATopicConnectionFactory、oracle.jms.AQjmsTopicConnectionFactory、oracle.jms.AQjmsXAQueueConnectionFactory 和 oracle.jms.AQjmsXAConnectionFactory(又称 weblogic/oracle-aqjms)有关。(CVE-2020-14061)

 - 2.9.10.5 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互,该漏洞与 com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool(又称 xalan2)有关。
 (CVE-2020-14062)

 - 2.9.10.5 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互,该漏洞与 org.jsecurity.realm.jndi.JndiRealmFactory(又称 org.jsecurity)有关。(CVE-2020-14195)

 - FasterXML jackson-databind 2.0.0 到 2.9.10.2 缺乏某些 xbean-reflect/JNDI 阻断,如 org.apache.xbean.propertyeditor.JndiConverter 所示。(CVE-2020-8840)

 - 2.9.10.4 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互,该漏洞与 org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig(又称阴影 hikari-config)相关。
 (CVE-2020-9546)

 - 2.9.10.4 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互,该漏洞与 com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig(又称 ibatis-sqlmap)相关。
 (CVE-2020-9547)

 - 2.9.10.4 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的互动,该漏洞与 br.com.anteros.dbcp.AnterosDBCPConfig(又称 anteros-core)相关。(CVE-2020-9548)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 libjackson2-databind-java 程序包。

另见

https://ubuntu.com/security/notices/USN-4813-1

插件详情

严重性: Critical

ID: 183541

文件名: ubuntu_USN-4813-1.nasl

版本: 1.1

类型: local

代理: unix

发布时间: 2023/10/20

最近更新时间: 2023/10/21

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: High

分数: 7.3

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 6.2

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2020-8840

CVSS v3

风险因素: Critical

基本分数: 10

时间分数: 9.3

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:F/RL:O/RC:C

CVSS 分数来源: CVE-2018-14721

漏洞信息

CPE: p-cpe:/a:canonical:ubuntu_linux:libjackson2-databind-java, cpe:/o:canonical:ubuntu_linux:16.04:-:esm

必需的 KB 项: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

可利用: true

易利用性: Exploits are available

补丁发布日期: 2021/3/15

漏洞发布日期: 2018/5/10

参考资料信息

CVE: CVE-2018-11307, CVE-2018-12022, CVE-2018-12023, CVE-2018-14718, CVE-2018-14719, CVE-2018-14720, CVE-2018-14721, CVE-2018-19360, CVE-2018-19361, CVE-2018-19362, CVE-2019-12086, CVE-2019-12384, CVE-2019-12814, CVE-2019-14379, CVE-2019-14439, CVE-2019-14540, CVE-2019-16335, CVE-2019-16942, CVE-2019-16943, CVE-2019-17267, CVE-2019-17531, CVE-2019-20330, CVE-2020-10672, CVE-2020-10673, CVE-2020-10968, CVE-2020-10969, CVE-2020-11111, CVE-2020-11112, CVE-2020-11113, CVE-2020-11619, CVE-2020-11620, CVE-2020-14060, CVE-2020-14061, CVE-2020-14062, CVE-2020-14195, CVE-2020-8840, CVE-2020-9546, CVE-2020-9547, CVE-2020-9548

USN: 4813-1