Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-02925

Опубликовано: 16 мая 2019
Источник: fstec
CVSS3: 5.9
CVSS2: 7.1
EPSS Средний

Описание

Уязвимость класса logback-core библиотеки Jackson-databind связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения
Novell Inc.
Fedora Project
ООО «РусБИТех-Астра»
Red Hat Inc.
FasterXML, LLC
Oracle Corp.
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
OpenSUSE Leap
Fedora
Astra Linux Common Edition
Red Hat Enterprise Linux
Red Hat JBoss Fuse
Jackson-databind
Retail Customer Management and Segmentation Foundation
JBoss A-MQ
OpenShift Application Runtimes
NoSQL Database
Red Hat Process Automation Manager
Red Hat AMQ Streams
JBoss Enterprise Application Platform
Red Hat Descision Manager
Red Hat JBoss EAP
GoldenGate Stream Analytics
ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)
42.3 (OpenSUSE Leap)
29 (Fedora)
15 (OpenSUSE Leap)
2.12 «Орёл» (Astra Linux Common Edition)
8 (Red Hat Enterprise Linux)
7 (Red Hat JBoss Fuse)
30 (Fedora)
от 2.0.0 до 2.9.9 (Jackson-databind)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
31 (Fedora)
17.0 (Retail Customer Management and Segmentation Foundation)
6.3 (JBoss A-MQ)
1.0 (OpenShift Application Runtimes)
до 19.3.12 включительно (NoSQL Database)
- (OpenShift Application Runtimes)
7 (Red Hat Process Automation Manager)
1 (Red Hat AMQ Streams)
7.2 for RHEL 6 (JBoss Enterprise Application Platform)
7.2 for RHEL 7 (JBoss Enterprise Application Platform)
7.2 for RHEL 8 (JBoss Enterprise Application Platform)
7 (Red Hat Descision Manager)
6.3 (Red Hat JBoss Fuse)
7.2 (Red Hat JBoss EAP)
до 19.1.0.0.1 (GoldenGate Stream Analytics)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
СУБД

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Novell Inc. OpenSUSE Leap 42.3
Fedora Project Fedora 29
Novell Inc. OpenSUSE Leap 15
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Red Hat Inc. Red Hat Enterprise Linux 8
Fedora Project Fedora 30
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Fedora Project Fedora 31
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Jackson-databind:
https://github.com/FasterXML/jackson-databind/compare/74b90a4...a977aad
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OVRZDN2T6AZ6DJCZJ3VSIQIVHBVMVWBL/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TXRVXNRFHJSQWFHPRJQRI5UPMZ63B544/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UKUALE2TUCKEKOHE2D342PQXN4MWCSLC/
Для Debian:
https://www.debian.org/security/2019/dsa-4542
https://lists.debian.org/debian-lts-announce/2019/06/msg00019.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-12384
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2018-12384/
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u6 или более поздней версии
Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%
0.51675
Средний

5.9 Medium

CVSS3

7.1 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-12384

CVSS3: 5.9
ubuntu
почти 6 лет назад

FasterXML jackson-databind 2.x before 2.9.9.1 might allow attackers to have a variety of impacts by leveraging failure to block the logback-core class from polymorphic deserialization. Depending on the classpath content, remote code execution may be possible.

redhat логотип

CVE-2019-12384

CVSS3: 8.1
redhat
почти 6 лет назад

FasterXML jackson-databind 2.x before 2.9.9.1 might allow attackers to have a variety of impacts by leveraging failure to block the logback-core class from polymorphic deserialization. Depending on the classpath content, remote code execution may be possible.

nvd логотип

CVE-2019-12384

CVSS3: 5.9
nvd
почти 6 лет назад

FasterXML jackson-databind 2.x before 2.9.9.1 might allow attackers to have a variety of impacts by leveraging failure to block the logback-core class from polymorphic deserialization. Depending on the classpath content, remote code execution may be possible.

debian логотип

CVE-2019-12384

CVSS3: 5.9
debian
почти 6 лет назад

FasterXML jackson-databind 2.x before 2.9.9.1 might allow attackers to ...

rocky логотип

RLSA-2019:2720

rocky
почти 6 лет назад

Important: pki-deps:10.6 security update

EPSS

Процентиль: 98%
0.51675
Средний

5.9 Medium

CVSS3

7.1 High

CVSS2