• 和记官网登录

    安全漏洞

    安全漏洞补丁公告

    当前位置  >  首页  >  服务支持  >  安全漏洞  >  安全漏洞补丁公告

    公告ID(KYSA-202102-0022

    摘要:libjackson-json-java漏洞 安全等级:中等 公告ID:KYSA-202102-0022 发布日期:2021-04-06 影响CVE:CVE-2017-15095、CVE-2017-7525、CVE-2019-10172

    详细介绍

    1. 修复的CVE信息

    • CVE-2017-15095

      描述:在2.8.10和2.9.1之前的版本的jackson-databind中发现了反序列化缺陷,该缺陷可能允许未经身份验证的用户通过将恶意制作的输入发送到ObjectMapper的readValue方法来执行代码执行。此问题通过将更多可恶意使用的类列入黑名单,扩展了以前的漏洞CVE-2017-7525。

    • CVE-2017-7525

      描述:在2.6.7.1、2.7.9.1和2.8.9之前的版本的jackson-databind中发现了反序列化漏洞,该漏洞可能允许未经身份验证的用户通过将恶意制作的输入发送到ObjectMapper的readValue方法来执行代码执行。

    • CVE-2019-10172

      描述:jackson-mapper-asl是一款基于Jackson JSON处理器构建的数据映射软件包。jackson-mapper-asl 1.9.x版本中存在代码问题漏洞。远程攻击者可借助特制数据利用该漏洞获取敏感信息。


    2. 受影响的操作系统

    • 银河和记官网登录桌面操作系统V4 SP1

    • 银河和记官网登录桌面操作系统V4 SP2

    • 银河和记官网登录桌面操作系统V4 SP3

    • 银河和记官网登录桌面操作系统V4 SP4

    • 银河和记官网登录桌面操作系统V10

    • 银河和记官网登录服务器操作系统V4 SP1

    • 银河和记官网登录服务器操作系统V4 SP2

    • 银河和记官网登录服务器操作系统V4 SP3

    • 银河和记官网登录服务器操作系统V4 SP4


    3. 修复版本

    • 软件包:libjackson-json-java

      libjackson-json-java - 1.9.2-7kord0.2(V4、V10)


    4. 受影响的软件包

    • 银河和记官网登录桌面操作系统V4桌面版

      libjackson-json-java-doc

      libjackson-json-java

    • 银河和记官网登录桌面操作系统V10桌面版

      libjackson-json-java-doc

      libjackson-json-java


    5.修复方法

    方法一:配置源进行升级安装

    • 打开软件包源配置文件,根据仓库地址进行修改。

      4.0.2-sp1: https://archive.cq-jq.com/kylin/KYLIN-ALL 4.0.2sp1-desktop main restricted universe multiverse

      4.0.2-sp2: https://archive.cq-jq.com/kylin/KYLIN-ALL 4.0.2sp2-desktop main restricted universe multiverse

      4.0.2-sp3: https://archive.cq-jq.com/kylin/KYLIN-ALL 4.0.2sp3-desktop main restricted universe multiverse

      4.0.2-sp4: https://archive.cq-jq.com/kylin/KYLIN-ALL 4.0.2sp4-desktop main restricted universe multiverse

      10.0:https://archive.cq-jq.com/kylin/KYLIN-ALL 10.0 main restricted universe multiverse

      配置完成后执行更新命令进行升级     $sudo apt update

    方法二:下载安装包进行升级安装

    通过软件包地址下载软件包,使用软件包升级命令根据受影响的组件包列表 升级相关的组件包。   $dpkg -i Packagelists


    6. 软件包下载地址

    • 和记官网登录操作系统V10桌面版、V4

      X86_64软件包下载地址:

      https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/universe/libj/libjackson-json-java/libjackson-json-java-doc_1.9.2-7kord0.2_all.deb

      https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/universe/libj/libjackson-json-java/libjackson-json-java_1.9.2-7kord0.2_all.deb

      arm64软件包下载地址:

      https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/universe/libj/libjackson-json-java/libjackson-json-java-doc_1.9.2-7kord0.2_all.deb

      https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/universe/libj/libjackson-json-java/libjackson-json-java_1.9.2-7kord0.2_all.deb

      mips64el软件包下载地址:

      https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/universe/libj/libjackson-json-java/libjackson-json-java-doc_1.9.2-7kord0.2_all.deb

      https://archive.cq-jq.com/kylin/KYLIN-ALL/pool/universe/libj/libjackson-json-java/libjackson-json-java_1.9.2-7kord0.2_all.deb


    上一篇: KYSA-202102-0008 下一篇: KYSA-202102-0014

    试用

    服务

    动态

    联系