BDU:2019-02899

Опубликовано: 29 мая 2019

Источник: fstec

CVSS3: 7.5

CVSS2: 7.8

EPSS Средний

Описание

Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с возможностью чтения произвольных локальных файлов на сервере в случае, когда активирована типизация по умолчанию, и специальный jar-коннектор mysql-connector-java, находится в пути к классам для конечной точки JSON. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным с помощью отправки специально созданного JSON-сообщения

Вендор

Сообщество свободного программного обеспечения

Oracle Corp.

Fedora Project

Novell Inc.

ООО «РусБИТех-Астра»

Red Hat Inc.

FasterXML, LLC

Наименование ПО

Debian GNU/Linux

JD Edwards EnterpriseOne Tools

Primavera Unifier

WebCenter Portal

Fedora

OpenSUSE Leap

Oracle Retail Customer Management and Segmentation Foundation

Retail Xstore Point of Service

Astra Linux Common Edition

Red Hat Enterprise Linux

Red Hat JBoss Fuse

Jackson-databind

Communications Billing and Revenue Management

Communications Unified

Primavera Gateway

Enterprise Manager for Virtualization

Retail Customer Management and Segmentation Foundation

Insurance Performance Insight

Insurance Allocation Manager for Enterprise Profitability

Financial Services Retail Customer Analytics

Financial Services Profitability Management

Financial Services Price Creation and Discovery

Financial Services Institutional Performance Analytics

Financial Services Funds Transfer Pricing

Financial Services Analytical Applications Infrastructure

Banking Platform

OpenShift Application Runtimes

NoSQL Database

Communications Instant Messaging Server

Siebel UI Framework

Red Hat AMQ Streams

JBoss Enterprise Application Platform

Red Hat Single Sign-On

JD Edwards EnterpriseOne Orchestrator

Siebel Engineering - Installer & Deployment

JBoss EAP

GoldenGate Stream Analytics

Версия ПО

9 (Debian GNU/Linux)

9.2 (JD Edwards EnterpriseOne Tools)

16.2 (Primavera Unifier)

16.1 (Primavera Unifier)

12.2.1.3.0 (WebCenter Portal)

29 (Fedora)

15 (OpenSUSE Leap)

16.0 (Oracle Retail Customer Management and Segmentation Foundation)

17.0 (Oracle Retail Customer Management and Segmentation Foundation)

18.0 (Oracle Retail Customer Management and Segmentation Foundation)

7.0 (Retail Xstore Point of Service)

2.12 «Орёл» (Astra Linux Common Edition)

8 (Red Hat Enterprise Linux)

7 (Red Hat JBoss Fuse)

30 (Fedora)

от 2.0.0 до 2.9.9 (Jackson-databind)

8 (Debian GNU/Linux)

7.5 (Communications Billing and Revenue Management)

12.0 (Communications Billing and Revenue Management)

31 (Fedora)

18.8 (Primavera Unifier)

8.0.0.2.0 (Communications Unified)

15.2 (Primavera Gateway)

16.2 (Primavera Gateway)

17.12 (Primavera Gateway)

18.8 (Primavera Gateway)

13.1 (Enterprise Manager for Virtualization)

13.2 (Enterprise Manager for Virtualization)

13.3 (Enterprise Manager for Virtualization)

18.0 (Retail Customer Management and Segmentation Foundation)

7.1 (Retail Xstore Point of Service)

15.0 (Retail Xstore Point of Service)

16.0 (Retail Xstore Point of Service)

17.0 (Retail Xstore Point of Service)

18.0 (Retail Xstore Point of Service)

8.0.7 (Insurance Performance Insight)

8.0.8 (Insurance Allocation Manager for Enterprise Profitability)

от 8.0.4 до 8.0.6 включительно (Financial Services Retail Customer Analytics)

от 8.0.4 до 8.0.7 включительно (Financial Services Profitability Management)

от 8.0.4 до 8.0.7 включительно (Financial Services Price Creation and Discovery)

от 8.0.4 до 8.0.7 включительно (Financial Services Institutional Performance Analytics)

от 8.0.6 до 8.0.7 включительно (Financial Services Funds Transfer Pricing)

от 8.0.2 до 8.0.8 включительно (Financial Services Analytical Applications Infrastructure)

от 2.4.0 до 2.7.1 включительно (Banking Platform)

1.0 (OpenShift Application Runtimes)

до 19.3.12 включительно (NoSQL Database)

10.0.1.3.0 (Communications Instant Messaging Server)

до 19.10 включительно (Siebel UI Framework)

1 (Red Hat AMQ Streams)

7.2 for RHEL 6 (JBoss Enterprise Application Platform)

7.2 for RHEL 7 (JBoss Enterprise Application Platform)

7.2 for RHEL 8 (JBoss Enterprise Application Platform)

7.3 (Red Hat Single Sign-On)

9.2 (JD Edwards EnterpriseOne Orchestrator)

до 19.8 включительно (Siebel Engineering - Installer & Deployment)

7.2 (JBoss EAP)

от 17.7 до 17.12 включительно (Primavera Unifier)

до 19.1.0.0.1 (GoldenGate Stream Analytics)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Сетевое программное средство

СУБД

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux .

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Fedora Project Fedora 29

Novell Inc. OpenSUSE Leap 15

ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»

Red Hat Inc. Red Hat Enterprise Linux 8

Fedora Project Fedora 30

Сообщество свободного программного обеспечения Debian GNU/Linux 8

Fedora Project Fedora 31

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для jackson-databind:

https://github.com/FasterXML/jackson/wiki/Jackson-Release-2.9.9

https://github.com/FasterXML/jackson-databind/issues/2326

Для программных продуктов Oracle Corp.:

https://www.oracle.com/security-alerts/cpujan2020.html

https://www.oracle.com/security-alerts/cpujul2020.html

https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html

https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

Для Fedora:

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UKUALE2TUCKEKOHE2D342PQXN4MWCSLC/

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TXRVXNRFHJSQWFHPRJQRI5UPMZ63B544/

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OVRZDN2T6AZ6DJCZJ3VSIQIVHBVMVWBL/

Для Debian:

https://www.debian.org/security/2019/dsa-4452

https://lists.debian.org/debian-lts-announce/2019/05/msg00030.html

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2019-12086

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2018-12086/

Для Astra Linux:

Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u5 или более поздней версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-12086
CVE

EPSS

Процентиль: 94%

0.15745

Средний

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVE-2019-12086

CVSS3: 7.5

ubuntu

около 6 лет назад

A Polymorphic Typing issue was discovered in FasterXML jackson-databind 2.x before 2.9.9. When Default Typing is enabled (either globally or for a specific property) for an externally exposed JSON endpoint, the service has the mysql-connector-java jar (8.0.14 or earlier) in the classpath, and an attacker can host a crafted MySQL server reachable by the victim, an attacker can send a crafted JSON message that allows them to read arbitrary local files on the server. This occurs because of missing com.mysql.cj.jdbc.admin.MiniAdmin validation.

CVE-2019-12086

CVSS3: 7.5

redhat

около 6 лет назад

CVE-2019-12086

CVSS3: 7.5

nvd

около 6 лет назад

CVE-2019-12086

CVSS3: 7.5

debian

около 6 лет назад

A Polymorphic Typing issue was discovered in FasterXML jackson-databin ...

GHSA-5ww9-j83m-q7qx

CVSS3: 7.5

github

около 6 лет назад

Information exposure in FasterXML jackson-databind

EPSS

Процентиль: 94%

0.15745

Средний

7.5 High

CVSS3

7.8 High

CVSS2