1.修復的CVE ·CVE-2020-35490 描述：FasterXML jackson-databind是一個基于JAVA可以將XML和JSON等數據格式與JAVA對象進行轉換的庫。Jackson可以輕松的將Java對象轉換成json對象和xml文檔，同樣也可以將json、xml轉換成Java對象。FasterXML jackson-databind 2.x before 2.9.10.8 存在代碼問題漏洞，該漏洞源于錯誤地處理了序列化小工具和類型之間的交互，這與org.apache.commons.dbcp2.datasources.PerUserPoolDataSource有關。 ·CVE-2020-35491 描述：FasterXML jackson-databind是一個基于JAVA可以將XML和JSON等數據格式與JAVA對象進行轉換的庫。Jackson可以輕松的將Java對象轉換成json對象和xml文檔，同樣也可以將json、xml轉換成Java對象。FasterXML jackson-databind 2.x系列2.9.10.8之前版本存在代碼問題漏洞，該漏洞源于錯誤地處理了序列化小工具和類型之間的交互，這與org.apache.commons.dbcp2.datasources.SharedPoolDataSource有關。 ·CVE-2020-35728 描述：FasterXML jackson-databind是一個基于JAVA可以將XML和JSON等數據格式與JAVA對象進行轉換的庫。Jackson可以輕松的將Java對象轉換成json對象和xml文檔，同樣也可以將json、xml轉換成Java對象。FasterXML jackson-databind 2.x版本至2.9.10.8版本存在代碼問題漏洞，該漏洞源于錯誤地處理了序列化小工具和類型之間的交互，涉及到com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool (aka embedded Xalan in org.glassfish.web/javax.servlet.jsp.jstl)。 ·CVE-2020-36179 描述：FasterXML jackson-databind版本 2.x 至版本 2.9.10.8 中沒能妥善處理序列化工具之間的互動和打字,oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS有關。 ·CVE-2020-36180 描述：FasterXML jackson-databind 2.x before 2.9.10.8 存在代碼問題漏洞，該漏洞源于org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS錯誤地處理serialization gadgets 和 typing的交互。 ·CVE-2020-36181 描述：FasterXML jackson-databind 版本 2.x 至版本 2.9.10.8 中存在代碼問題漏洞，該漏洞源于處理org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS相關的序列化小工具與輸入交互錯誤。 ·CVE-2020-36182 描述：FasterXML jackson-databind 2.x 在2.9.10.8之前 存在代碼問題漏洞，該漏洞源于org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS處理序列化小工具與類型交互錯誤。 ·CVE-2020-36183 描述：FasterXML jackson-databind 2.x 在 2.9.10.8 之前存在代碼問題漏洞，該漏洞源于該軟件org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool相關的序列化小工具與輸入交互處理錯誤。 ·CVE-2020-36184 描述：FasterXML jackson-databind版本 2.x 至版本 2.9.10.8 中沒能妥善處理序列化工具之間的互動和打字,org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource有關。 ·CVE-2020-36185 描述：FasterXML jackson-databind是一個基于JAVA可以將XML和JSON等數據格式與JAVA對象進行轉換的庫。Jackson可以輕松的將Java對象轉換成json對象和xml文檔，同樣也可以將json、xml轉換成Java對象。FasterXML jackson-databind 2.x before 2.9.10.8 存在代碼問題漏洞，該漏洞源于org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource錯誤地處理serialization gadgets 和 typing的交互。 ·CVE-2020-36186 描述：FasterXML jackson-databind 版本 2.x 至版本 2.9.10.8 中存在代碼問題漏洞，該漏洞源于錯誤地處理了與org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS相關的序列化小工具和鍵入之間的交互。 ·CVE-2020-36187 描述：FasterXML jackson-databind 中存在代碼問題漏洞，該漏洞源于該軟件處理org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource相關的序列化小工具與類型交互錯誤。 ·CVE-2020-36188 描述：FasterXML jackson-databind版本 2.x 至版本 2.9.10.8 中對com.newrelic.agent. des.ch.qs.logback.core.db.jndiconnectionsource相關的序列化小工具與類型的交互處理錯誤。 ·CVE-2020-36189 描述：FasterXML jackson-databind是一個基于JAVA可以將XML和JSON等數據格式與JAVA對象進行轉換的庫。Jackson可以輕松的將Java對象轉換成json對象和xml文檔，同樣也可以將json、xml轉換成Java對象。 FasterXML jackson-databind 2.x before 2.9.10.8 存在代碼問題漏洞，該漏洞源于com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource錯誤地處理serialization gadgets 和 typing的交互。 ·CVE-2021-20190 描述：FasterXML jackson-databind是一個基于JAVA可以將XML和JSON等數據格式與JAVA對象進行轉換的庫。Jackson可以輕松的將Java對象轉換成json對象和xml文檔，同樣也可以將json、xml轉換成Java對象。 jackson-databind before 2.9.10.7 存在代碼問題漏洞，該漏洞源于fastxml錯誤地處理了序列化小部件和類型之間的交互。 2.受影響的軟件包 ·銀河麒麟高級服務器操作系統 V10 SP2 ·aarch64架構: jackson-databind、jackson-databind-javadoc ·x86_64架構: jackson-databind、jackson-databind-javadoc 3.軟件包修復版本 ·銀河麒麟高級服務器操作系統 V10 SP2 (aarch64、x86_64) jackson-databind-2.9.8-7.ky10或以上版本 jackson-databind-javadoc-2.9.8-7.ky10或以上版本 4.修復方法 方法一：配置源進行升級安裝 1.打開軟件包源配置文件，根據倉庫地址進行修改。 倉庫源地址： 銀河麒麟高級服務器操作系統 V10 SP2 aarch64:https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/ x86_64:https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/ 2.配置完成后執行更新命令進行升級，命令如下： yum update Packagename 方法二：下載安裝包進行升級安裝 通過軟件包地址下載軟件包，使用軟件包升級命令根據受影響的軟件包 列表進行升級安裝, 命令如下： yum install Packagename 3.升級完成后是否需要重啟服務或操作系統： CVE-2020-35490:需要重啟 jackson-databind 以使漏洞修復生效。 CVE-2020-35491:需要重啟 jackson-databind 以使漏洞修復生效。 CVE-2020-35728:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2020-36179:需要重啟 jackson-databind 以使漏洞修復生效。 CVE-2020-36180:需要重啟 jackson-databind 以使漏洞修復生效。 CVE-2020-36181:需要重啟 jackson-databind 以使漏洞修復生效。 CVE-2020-36182:需要重啟 jackson-databind 以使漏洞修復生效。 CVE-2020-36183:需要重啟 jackson-databind 以使漏洞修復生效。 CVE-2020-36184:需要重啟 jackson-databind 以使漏洞修復生效。 CVE-2020-36185:需要重啟 jackson-databind 以使漏洞修復生效。 CVE-2020-36186:需要重啟 jackson-databind 以使漏洞修復生效。 CVE-2020-36187:需要重啟 jackson-databind 以使漏洞修復生效。 CVE-2020-36188:需要重啟 jackson-databind 以使漏洞修復生效。 CVE-2020-36189:需要重啟 jackson-databind 以使漏洞修復生效。 CVE-2021-20190:需要重啟 jackson-databind 以使漏洞修復生效。 5.軟件包下載地址 ·銀河麒麟高級服務器操作系統 V10 SP2 jackson-databind(aarch64)軟件包下載地址: https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/jackson-databind-2.9.8-7.ky10.noarch.rpm https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/jackson-databind-javadoc-2.9.8-7.ky10.noarch.rpm jackson-databind(x86_64)軟件包下載地址: https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/jackson-databind-2.9.8-7.ky10.noarch.rpm https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/jackson-databind-javadoc-2.9.8-7.ky10.noarch.rpm 注：其他相關依賴包請到相同目錄下載 6.修復驗證 使用軟件包查詢命令，查看相關軟件包版本是否與修復版本一致，如果版本一致，則說明修復成功。 sudo rpm -qa | grep Packagename