BDU:2019-04081

Опубликовано: 10 сент. 2019

Источник: fstec

CVSS3: 9.8

CVSS2: 7.5

EPSS Низкий

Описание

Уязвимость функции FasterXML (com.zaxxer.hikari.HikariDataSource) Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный контроль над системой

Вендор

Сообщество свободного программного обеспечения

Oracle Corp.

ООО «РусБИТех-Астра»

Red Hat Inc.

Fedora Project

FasterXML, LLC

Apache Software Foundation

АО «НТЦ ИТ РОСА»

АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux

Primavera Unifier

Oracle Retail Customer Management and Segmentation Foundation

Astra Linux Common Edition

Red Hat Enterprise Linux

OpenShift Container Platform

Fedora

Jboss Fuse

Primavera Gateway

JBoss Enterprise Application Platform

Jackson-databind

Red Hat Software Collections

JBoss Data Grid

Red Hat Process Automation Manager

Apache Drill

Red Hat AMQ Streams

Red Hat Single Sign-On

Red Hat Descision Manager

РОСА ХРОМ

ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)

16.2 (Primavera Unifier)

16.1 (Primavera Unifier)

8.0 (Debian GNU/Linux)

17.0 (Oracle Retail Customer Management and Segmentation Foundation)

18.0 (Oracle Retail Customer Management and Segmentation Foundation)

2.12 «Орёл» (Astra Linux Common Edition)

8 (Red Hat Enterprise Linux)

4.1 (OpenShift Container Platform)

30 (Fedora)

3.11 (OpenShift Container Platform)

7 (Jboss Fuse)

10 (Debian GNU/Linux)

31 (Fedora)

от 17.7 до 17.12 (Primavera Unifier)

18.8 (Primavera Unifier)

15.2 (Primavera Gateway)

16.2 (Primavera Gateway)

17.12 (Primavera Gateway)

18.8 (Primavera Gateway)

7.2 (JBoss Enterprise Application Platform)

до 2.9.10 (Jackson-databind)

- (Red Hat Software Collections)

4.2 (OpenShift Container Platform)

7 (JBoss Enterprise Application Platform)

7 (JBoss Data Grid)

7 (Red Hat Process Automation Manager)

1.16.0 (Apache Drill)

1 (Red Hat AMQ Streams)

7.2 for RHEL 6 (JBoss Enterprise Application Platform)

7.2 for RHEL 7 (JBoss Enterprise Application Platform)

7.2 for RHEL 8 (JBoss Enterprise Application Platform)

7.3 (Red Hat Single Sign-On)

4.3 (OpenShift Container Platform)

7 (Red Hat Descision Manager)

15.2.18 (Primavera Gateway)

16.2.11 (Primavera Gateway)

17.12.6 (Primavera Gateway)

18.8.8.1 (Primavera Gateway)

19.12 (Primavera Unifier)

12.4 (РОСА ХРОМ)

до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Сообщество свободного программного обеспечения Debian GNU/Linux 8.0

ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»

Red Hat Inc. Red Hat Enterprise Linux 8

Fedora Project Fedora 30

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Fedora Project Fedora 31

АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для jackson-databind:

https://github.com/FasterXML/jackson-databind/issues/2449

Для программных продуктов Red Hat:

https://access.redhat.com/security/cve/CVE-2019-16335

Для Fedora:

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/Q7CANA7KV53JROZDX5Z5P26UG5VN2K43/

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TH5VFUN4P7CCIP7KSEXYA5MUTFCUDUJT/

Для программных продуктов Oracle:

https://www.oracle.com/security-alerts/cpujan2020.html

https://www.oracle.com/security-alerts/cpujul2020.html

Для Apache:

https://lists.apache.org/thread.html/dc6b5cad721a4f6b3b62ed1163894941140d9d5656140fb757505ca0@%3Cissues.hbase.apache.org%3E

Для Astra Linux:

Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u6 или более поздней версии

Для ОС ОН «Стрелец»:

Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-16335
CVE

EPSS

Процентиль: 70%

0.00651

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Связанные уязвимости

CVE-2019-16335

CVSS3: 9.8

ubuntu

почти 6 лет назад

A Polymorphic Typing issue was discovered in FasterXML jackson-databind before 2.9.10. It is related to com.zaxxer.hikari.HikariDataSource. This is a different vulnerability than CVE-2019-14540.

CVE-2019-16335

CVSS3: 7.5

redhat

почти 6 лет назад

A Polymorphic Typing issue was discovered in FasterXML jackson-databind before 2.9.10. It is related to com.zaxxer.hikari.HikariDataSource. This is a different vulnerability than CVE-2019-14540.

CVE-2019-16335

CVSS3: 9.8

nvd

почти 6 лет назад

A Polymorphic Typing issue was discovered in FasterXML jackson-databind before 2.9.10. It is related to com.zaxxer.hikari.HikariDataSource. This is a different vulnerability than CVE-2019-14540.

CVE-2019-16335

CVSS3: 9.8

debian

почти 6 лет назад

A Polymorphic Typing issue was discovered in FasterXML jackson-databin ...

GHSA-85cw-hj65-qqv9

CVSS3: 9.8

github

больше 5 лет назад

Polymorphic Typing issue in FasterXML jackson-databind

EPSS

Процентиль: 70%

0.00651

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2