公告ID(KYSA-202504-1056)
公告ID:KYSA-202504-1056
公告摘要:jackson-databind安全漏洞
等級(jí):重要
發(fā)布日期:2025-04-08
詳細(xì)介紹
1.修復(fù)的漏洞
·CVE-2020-35490
描述:FasterXML jackson-databind是一個(gè)基于JAVA可以將XML和JSON等數(shù)據(jù)格式與JAVA對(duì)象進(jìn)行轉(zhuǎn)換的庫(kù)。Jackson可以輕松的將Java對(duì)象轉(zhuǎn)換成json對(duì)象和xml文檔,同樣也可以將json���、xml轉(zhuǎn)換成Java對(duì)象�����。FasterXML jackson-databind 2.x before 2.9.10.8 存在代碼問(wèn)題漏洞����,該漏洞源于錯(cuò)誤地處理了序列化小工具和類型之間的交互,這與org.apache.commons.dbcp2.datasources.PerUserPoolDataSource有關(guān)���。
·CVE-2020-35491
描述:FasterXML jackson-databind是一個(gè)基于JAVA可以將XML和JSON等數(shù)據(jù)格式與JAVA對(duì)象進(jìn)行轉(zhuǎn)換的庫(kù)�����。Jackson可以輕松的將Java對(duì)象轉(zhuǎn)換成json對(duì)象和xml文檔���,同樣也可以將json、xml轉(zhuǎn)換成Java對(duì)象���。FasterXML jackson-databind 2.x系列2.9.10.8之前版本存在代碼問(wèn)題漏洞��,該漏洞源于錯(cuò)誤地處理了序列化小工具和類型之間的交互�,這與org.apache.commons.dbcp2.datasources.SharedPoolDataSource有關(guān)����。
·CVE-2020-35728
描述:FasterXML jackson-databind是一個(gè)基于JAVA可以將XML和JSON等數(shù)據(jù)格式與JAVA對(duì)象進(jìn)行轉(zhuǎn)換的庫(kù)�����。Jackson可以輕松的將Java對(duì)象轉(zhuǎn)換成json對(duì)象和xml文檔�����,同樣也可以將json���、xml轉(zhuǎn)換成Java對(duì)象。FasterXML jackson-databind 2.x版本至2.9.10.8版本存在代碼問(wèn)題漏洞��,該漏洞源于錯(cuò)誤地處理了序列化小工具和類型之間的交互�����,涉及到com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool (aka embedded Xalan in org.glassfish.web/javax.servlet.jsp.jstl)��。
·CVE-2020-36179
描述:FasterXML jackson-databind版本 2.x 至版本 2.9.10.8 中沒(méi)能妥善處理序列化工具之間的互動(dòng)和打字,oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS有關(guān)���。
·CVE-2020-36180
描述:FasterXML jackson-databind 2.x before 2.9.10.8 存在代碼問(wèn)題漏洞,該漏洞源于org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS錯(cuò)誤地處理serialization gadgets 和 typing的交互��。
·CVE-2020-36181
描述:FasterXML jackson-databind 版本 2.x 至版本 2.9.10.8 中存在代碼問(wèn)題漏洞,該漏洞源于處理org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS相關(guān)的序列化小工具與輸入交互錯(cuò)誤����。
·CVE-2020-36182
描述:FasterXML jackson-databind 2.x 在2.9.10.8之前 存在代碼問(wèn)題漏洞,該漏洞源于org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS處理序列化小工具與類型交互錯(cuò)誤���。
·CVE-2020-36188
描述:FasterXML jackson-databind版本 2.x 至版本 2.9.10.8 中對(duì)com.newrelic.agent. des.ch.qs.logback.core.db.jndiconnectionsource相關(guān)的序列化小工具與類型的交互處理錯(cuò)誤����。
·CVE-2020-36189
描述:FasterXML jackson-databind是一個(gè)基于JAVA可以將XML和JSON等數(shù)據(jù)格式與JAVA對(duì)象進(jìn)行轉(zhuǎn)換的庫(kù)��。Jackson可以輕松的將Java對(duì)象轉(zhuǎn)換成json對(duì)象和xml文檔�����,同樣也可以將json����、xml轉(zhuǎn)換成Java對(duì)象。 FasterXML jackson-databind 2.x before 2.9.10.8 存在代碼問(wèn)題漏洞����,該漏洞源于com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource錯(cuò)誤地處理serialization gadgets 和 typing的交互。
·CVE-2021-20190
描述:FasterXML jackson-databind是一個(gè)基于JAVA可以將XML和JSON等數(shù)據(jù)格式與JAVA對(duì)象進(jìn)行轉(zhuǎn)換的庫(kù)����。Jackson可以輕松的將Java對(duì)象轉(zhuǎn)換成json對(duì)象和xml文檔�,同樣也可以將json���、xml轉(zhuǎn)換成Java對(duì)象����。 jackson-databind before 2.9.10.7 存在代碼問(wèn)題漏洞����,該漏洞源于fastxml錯(cuò)誤地處理了序列化小部件和類型之間的交互。
2.受影響的軟件包
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3
·loongarch64架構(gòu):
jackson-databind����、jackson-databind-javadoc
3.軟件包修復(fù)版本
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3 (loongarch64)
jackson-databind-javadoc-2.9.8-7.a.ky10或以上版本
jackson-databind-2.9.8-7.a.ky10或以上版本
4.修復(fù)方法
方法一:配置源進(jìn)行升級(jí)安裝
1.打開(kāi)軟件包源配置文件,根據(jù)倉(cāng)庫(kù)地址進(jìn)行修改���。
倉(cāng)庫(kù)源地址:
銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3
loongarch64:https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/
2.配置完成后執(zhí)行更新命令進(jìn)行升級(jí)���,命令如下:
yum update Packagename
方法二:下載安裝包進(jìn)行升級(jí)安裝
通過(guò)軟件包地址下載軟件包,使用軟件包升級(jí)命令根據(jù)受影響的軟件包
列表進(jìn)行升級(jí)安裝, 命令如下:
yum install Packagename
3.升級(jí)完成后是否需要重啟服務(wù)或操作系統(tǒng):
CVE-2020-35490:需要重啟 jackson-databind 以使漏洞修復(fù)生效����。
CVE-2020-35491:需要重啟 jackson-databind 以使漏洞修復(fù)生效���。
CVE-2020-35728:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2020-36179:需要重啟 jackson-databind 以使漏洞修復(fù)生效���。
CVE-2020-36180:需要重啟 jackson-databind 以使漏洞修復(fù)生效���。
CVE-2020-36181:需要重啟 jackson-databind 以使漏洞修復(fù)生效。
CVE-2020-36182:需要重啟 jackson-databind 以使漏洞修復(fù)生效����。
CVE-2020-36188:需要重啟 jackson-databind 以使漏洞修復(fù)生效。
CVE-2020-36189:需要重啟 jackson-databind 以使漏洞修復(fù)生效�����。
CVE-2021-20190:需要重啟 jackson-databind 以使漏洞修復(fù)生效���。
5.軟件包下載地址
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3
jackson-databind(loongarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jackson-databind-javadoc-2.9.8-7.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/jackson-databind-2.9.8-7.a.ky10.noarch.rpm
注:其他相關(guān)依賴包請(qǐng)到相同目錄下載
6.修復(fù)驗(yàn)證
使用軟件包查詢命令���,查看相關(guān)軟件包版本是否與修復(fù)版本一致,如果版本一致��,則說(shuō)明修復(fù)成功。
sudo rpm -qa | grep Packagename
