BDU:2019-04085

Опубликовано: 10 сент. 2019

Источник: fstec

CVSS3: 9.8

CVSS2: 7.5

EPSS Низкий

Описание

Уязвимость функции FasterXML (com.zaxxer.hikari.HikariConfig) Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный контроль над системой

Вендор

Сообщество свободного программного обеспечения

Oracle Corp.

ООО «РусБИТех-Астра»

Red Hat Inc.

Fedora Project

FasterXML, LLC

АО «НТЦ ИТ РОСА»

АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux

Primavera Unifier

Oracle Retail Customer Management and Segmentation Foundation

Astra Linux Common Edition

Red Hat Enterprise Linux

OpenShift Container Platform

Fedora

Primavera Gateway

Retail Xstore Point of Service

Banking Platform

Jackson-databind

Red Hat Software Collections

Financial Services Analytical Applications Infrastructure

РОСА ХРОМ

ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)

16.2 (Primavera Unifier)

16.1 (Primavera Unifier)

8.0 (Debian GNU/Linux)

17.0 (Oracle Retail Customer Management and Segmentation Foundation)

2.12 «Орёл» (Astra Linux Common Edition)

8 (Red Hat Enterprise Linux)

4.1 (OpenShift Container Platform)

30 (Fedora)

3.11 (OpenShift Container Platform)

10 (Debian GNU/Linux)

31 (Fedora)

от 17.7 до 17.12 (Primavera Unifier)

18.8 (Primavera Unifier)

15.2 (Primavera Gateway)

16.2 (Primavera Gateway)

17.12 (Primavera Gateway)

18.8 (Primavera Gateway)

7.1 (Retail Xstore Point of Service)

15.0 (Retail Xstore Point of Service)

16.0 (Retail Xstore Point of Service)

17.0 (Retail Xstore Point of Service)

18.0 (Retail Xstore Point of Service)

от 2.4.0 до 2.7.1 включительно (Banking Platform)

до 2.9.10 (Jackson-databind)

- (Red Hat Software Collections)

4.2 (OpenShift Container Platform)

от 8.0.2 до 8.0.8 (Financial Services Analytical Applications Infrastructure)

12.4 (РОСА ХРОМ)

до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Сообщество свободного программного обеспечения Debian GNU/Linux 8.0

ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»

Red Hat Inc. Red Hat Enterprise Linux 8

Fedora Project Fedora 30

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Fedora Project Fedora 31

АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

Для программных продуктов FasterXML:

https://github.com/FasterXML/jackson-databind/issues/2410

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2019-14540?extIdCarryOver=true&sc_cid=701f2000001OH7JAAW

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2019-14540

Для Fedora Project:

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TH5VFUN4P7CCIP7KSEXYA5MUTFCUDUJT/

Для программных продуктов Oracle:

https://www.oracle.com/security-alerts/cpujan2020.html

https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html

Для Astra Linux:

Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u6 или более поздней версии

Для ОС ОН «Стрелец»:

Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-14540
CVE

EPSS

Процентиль: 91%

0.07082

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Связанные уязвимости

CVE-2019-14540

CVSS3: 9.8

ubuntu

почти 6 лет назад

A Polymorphic Typing issue was discovered in FasterXML jackson-databind before 2.9.10. It is related to com.zaxxer.hikari.HikariConfig.

CVE-2019-14540

CVSS3: 7.5

redhat

почти 6 лет назад

A Polymorphic Typing issue was discovered in FasterXML jackson-databind before 2.9.10. It is related to com.zaxxer.hikari.HikariConfig.

CVE-2019-14540

CVSS3: 9.8

nvd

почти 6 лет назад

A Polymorphic Typing issue was discovered in FasterXML jackson-databind before 2.9.10. It is related to com.zaxxer.hikari.HikariConfig.

CVE-2019-14540

CVSS3: 9.8

debian

почти 6 лет назад

A Polymorphic Typing issue was discovered in FasterXML jackson-databin ...

GHSA-h822-r4r5-v8jg

CVSS3: 9.8

github

больше 5 лет назад

Polymorphic Typing issue in FasterXML jackson-databind

EPSS

Процентиль: 91%

0.07082

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2