検出

Ubuntu 16.04 ESM: Jackson Databind の脆弱性 (USN-4813-1)

critical Nessus プラグイン ID 183541

Language:

概要

リモート Ubuntu ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの Ubuntu 16.04ESM ホストにインストールされているパッケージは、USN-4813-1のアドバイザリに記載されている複数の脆弱性の影響を受けます。

 - FasterXML jackson-databind 2.0.0 から 2.9.5 に、問題が見つかりました。Jackson のデフォルトの型付けを iBatis の gadget クラスとともに使用すると、コンテンツの抜き取りが可能になります。2.7.9.4、2.8.11.2、および 2.9.6 で修正されました。(CVE-2018-11307)

 - FasterXML jackson-databind、2.7.9.42.8.11.2、2.9.6に問題が見つかりました。デフォルトの型付けが (グローバルまたは特定のプロパティに対して) 有効化されており、サービスのクラスパスに (Jodd フレームワークのデータベースアクセス用) Jodd-db jar がある場合、攻撃者は、アクセスする LDAP サービスを追加し、サービスに悪意のあるペイロードを実行させることが可能です。(CVE-2018-12022)

 - FasterXML jackson-databind、2.7.9.42.8.11.2、2.9.6に問題が見つかりました。デフォルトの型付けが (グローバルまたは特定のプロパティに対して) 有効化されており、サービスのクラスパスに Oracle JDBC jar がある場合、攻撃者は、アクセスする LDAP サービスを追加し、サービスに悪意のあるペイロードを実行させることが可能です。(CVE-2018-12023)

 - 2.9.7 より前の FasterXML jackson-databind 2.x では、slf4j-ext クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用してリモートの攻撃者が任意のコードを実行する可能性があります。(CVE-2018-14718)

 - 2.9.7 より前の FasterXML jackson-databind 2.x では、blaze-ds-opt クラスと blaze-ds-core クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用してリモートの攻撃者が任意のコードを実行する可能性があります。
 (CVE-2018-14719)

 - 2.9.7 より前の FasterXML jackson-databind 2.x では、指定していない JDK クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用して攻撃者が外部 XML エンティティ (XXE) 攻撃を実行する可能性があります。
 (CVE-2018-14720)

 - 2.9.7 より前の FasterXML jackson-databind 2.x では、axis2-jaxws クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用してリモートの攻撃者がサーバーサイドリクエストフォージェリ (SSRF) を実行する可能性があります。(CVE-2018-14721)

 - 2.9.8 より前の FasterXML jackson-databind 2.x では、axis2-transport-jms クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用してリモートの攻撃者が詳細不明な影響を及ぼす可能性があります。(CVE-2018-19360)

 - 2.9.8 より前の FasterXML jackson-databind 2.x では、openjpa クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用してリモートの攻撃者が詳細不明な影響を及ぼす可能性があります。(CVE-2018-19361)

 - 2.9.8 より前の FasterXML jackson-databind 2.x では、jboss-common-core クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用してリモートの攻撃者が詳細不明な影響を及ぼす可能性があります。(CVE-2018-19362)

 - 2.9.9 以前の FasterXML jackson-databind 2.x に、多態的型付けの問題が見つかりました。デフォルトの型付け (グローバルにまたは特定のプロパティに対して) が、外部に公開されているJSONエンドポイントに有効になっていて、サービスにはクラスパスのmysql-connector-java jar (8.0.14以前) があり、攻撃者が被害者の到達可能な細工されたMySQLサーバーをホストできる場合、攻撃者は細工されたJSONメッセージを送信して、サーバー上で任意のローカルファイルを読み取る可能性があります。これは、com.mysql.cj.jdbc.admin.MiniAdmin が検証されないことが原因です。(CVE-2019-12086)

 - 2.9.9.1 より前の 2.x の FasterXML jackson-databind では、logback-core クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用して攻撃者がさまざまな影響を与える可能性があります。クラスパスの内容によっては、リモートコードの実行が可能になる場合があります。(CVE-2019-12384)

 - FasterXML jackson-databind 2.x から 2.9.9 に、多態的型付けの問題が見つかりました。デフォルトの型付け (グローバルでまたは特定のプロパティに対して) が、外部に公開されている JSON エンドポイントに有効になっていて、サービスのクラスパスに JDOM 1.x または 2.x がある場合、攻撃者は細工された JSON メッセージを送信して、サーバー上で任意のローカルファイルを読み取る可能性があります。(CVE-2019-12814)

 - 2.9.9.2 より前の FasterXML jackson-databind の SubTypeValidator.java が、ehcache が使用される際に (net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup のため) デフォルトの型付けを不適切に処理し、リモートコードの実行を引き起こします。(CVE-2019-14379)

- 2.9.9.2 以前の FasterXML jackson-databind 2.x に、多態的型付けの問題が見つかりました。これは、外部に公開されている JSON エンドポイントに対してデフォルトの型付けが (グローバルにまたは特定のプロパティに対して) 有効になっており、サービスのクラスパスに logback jar がある場合に発生します。(CVE-2019-14439)

 - 2.9.10 以前の FasterXML jackson-databind に、多態的型付けの問題が見つかりました。これは com.zaxxer.hikari.HikariConfig に関連しています。(CVE-2019-14540)

 - 2.9.10 以前の FasterXML jackson-databind に、多態的型付けの問題が見つかりました。これは com.zaxxer.hikari.HikariDataSource に関連しています。これは、CVE-2019-14540とは異なる脆弱性です。
 (CVE-2019-16335)

 - FasterXML jackson-databind 2.0.0 から 2.9.10 に、多態的型付けの問題が見つかりました。外部に公開されている JSON エンドポイントに対して、デフォルトの型付けが (グローバルに、または特定のプロパティに対して) 有効化されており、サービスのクラスパスに commons-dbcp (1.4) の jar がある場合、攻撃者は、アクセスできる RMI サービスエンドポイントを見つけることができれば、サービスに悪意のあるペイロードを実行させることが可能です。この問題が存在するのは、org.apache.commons.dbcp.datasources.SharedPoolDataSource および org.apache.commons.dbcp.datasources.PerUserPoolDataSource の処理が不適切なためです。(CVE-2019-16942)

 - FasterXML jackson-databind 2.0.0 から 2.9.10 に、多態的型付けの問題が見つかりました。外部に公開されているJSONエンドポイントに対して、デフォルトの型付けが (グローバルに、または特定のプロパティに対して) 有効化されており、サービスのクラスパスにp6spy (3.8.6) のjarがある場合、攻撃者は、アクセスできるRMIサービスエンドポイントを見つけることができれば、サービスに悪意のあるペイロードを実行させることが可能です。この問題は、com.p6spy.engine.spy.P6DataSource の誤った処理に起因します。(CVE-2019-16943)

 - 2.9.10 以前の FasterXML jackson-databind に、多態的型付けの問題が見つかりました。これは、net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup に関連しています。(CVE-2019-17267)

 - FasterXML jackson-databind 2.0.0 から 2.9.10 に、多態的型付けの問題が見つかりました。外部に公開されている JSON エンドポイントに対して、デフォルトの型付けが (グローバルに、または特定のプロパティに対して) 有効化されており、サービスのクラスパスに apache-log4j-extra (バージョン 1.2.x) の jar がある場合、攻撃者は、アクセスできる JNDI サービスを追加し、サービスに悪意のあるペイロードを実行させることが可能です。(CVE-2019-17531)

 - 2.9.10.2 より前の FasterXML jackson-databind 2.x では、特定の net.sf.ehcache ブロッキングがありません。(CVE-2019-20330)

 - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory (別名 aries.transaction.jms) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-10672)

 - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、com.caucho.config.types.ResourceRef (別名 caucho-quercus) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-10673)

 - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、org.aoju.bus.proxy.provider.remoting.RmiProvider (別名 bus-proxy) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-10968)

 - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、javax.swing.JEditorPane に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-10969)

 - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、org.apache.activemq.* (別名 activemq-jms、activemq-core、activemq-pool、activemq-pool-jms) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-11111)

 - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、org.apache.commons.proxy.provider.remoting.RmiProvider (別名 apache/commons-proxy) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。
 (CVE-2020-11112)

 - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、jorg.apache.openjpa.ee.WASRegistryManagedRuntime (別名 openjpa) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-11113)

 - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、org.springframework.aop.config.MethodLocatingFactoryBean (別名 spring-aop) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。
 (CVE-2020-11619)

 - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、org.apache.commons.jelly.impl.Embedded (別名 commons-jelly) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-11620)

 - 2.9.10.5 より前の FasterXML jackson-databind 2.x において、oadd.org.apache.xalan.lib.sql.JNDIConnectionPool (別名 apache/drill) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。
 (CVE-2020-14060)

 - 2.9.10.5 より前の FasterXML jackson-databind 2.x では、oracle.jms.AQjmsQueueConnectionFactory,、oracle.jms.AQjmsXATopicConnectionFactory、oracle.jms.AQjmsTopicConnectionFactory、oracle.jms.AQjmsXAQueueConnectionFactory、および oracle.jms.AQjmsXAConnectionFactory (別名 weblogic/oracle-aqjms) に関連してシリアル化ガジェットとタイピングの間の相互作用が不適切に処理されます。(CVE-2020-14061)

 - 2.9.10.5 より前の FasterXML jackson-databind 2.x において、com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool (別名 xalan2) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。
 (CVE-2020-14062)

 - 2.9.10.5 より前の FasterXML jackson-databind 2.x において、org.jsecurity.realm.jndi.JndiRealmFactory (別名 org.jsecurity) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-14195)

 - FasterXML jackson-databind 2.0.0 から 2.9.10.2 には、org.apache.xbean.propertyeditor.JndiConverter で実証されているように、特定の xbean-reflect/JNDI ブロッキングがありません。(CVE-2020-8840)

 - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig (別名シェーディング hikari-config) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。
 (CVE-2020-9546)

 - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig (別名 ibatis-sqlmap) に関連して、シリアライズガジェットと型指定の間の相互作が不適切に処理されています。
 (CVE-2020-9547)

 - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、br.com.anteros.dbcp.AnterosDBCPConfig (別名 anteros-core) に関連して、シリアライズガジェットと型付けの間の相互作用が不適切に処理されています。(CVE-2020-9548)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける libjackson2-databind-java パッケージを更新してください。

参考資料

https://ubuntu.com/security/notices/USN-4813-1

プラグインの詳細

深刻度: Critical

ID: 183541

ファイル名: ubuntu_USN-4813-1.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2023/10/20

更新日: 2023/10/21

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 6.2

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2020-8840

CVSS v3

リスクファクター: Critical

基本値: 10

現状値: 9.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

CVSS スコアのソース: CVE-2018-14721

脆弱性情報

CPE: p-cpe:/a:canonical:ubuntu_linux:libjackson2-databind-java, cpe:/o:canonical:ubuntu_linux:16.04:-:esm

必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2021/3/15

脆弱性公開日: 2018/5/10

参照情報

CVE: CVE-2018-11307, CVE-2018-12022, CVE-2018-12023, CVE-2018-14718, CVE-2018-14719, CVE-2018-14720, CVE-2018-14721, CVE-2018-19360, CVE-2018-19361, CVE-2018-19362, CVE-2019-12086, CVE-2019-12384, CVE-2019-12814, CVE-2019-14379, CVE-2019-14439, CVE-2019-14540, CVE-2019-16335, CVE-2019-16942, CVE-2019-16943, CVE-2019-17267, CVE-2019-17531, CVE-2019-20330, CVE-2020-10672, CVE-2020-10673, CVE-2020-10968, CVE-2020-10969, CVE-2020-11111, CVE-2020-11112, CVE-2020-11113, CVE-2020-11619, CVE-2020-11620, CVE-2020-14060, CVE-2020-14061, CVE-2020-14062, CVE-2020-14195, CVE-2020-8840, CVE-2020-9546, CVE-2020-9547, CVE-2020-9548

USN: 4813-1