Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-04087

Опубликовано: 10 сент. 2019
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции FasterXML (net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup) Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Oracle Corp.
Fedora Project
Red Hat Inc.
Сообщество свободного программного обеспечения
FasterXML, LLC
АО «Концерн ВНИИНС»

Наименование ПО

JD Edwards EnterpriseOne Tools
Primavera Unifier
Fedora
Oracle Retail Customer Management and Segmentation Foundation
Red Hat Enterprise Linux
Red Hat JBoss Fuse
Debian GNU/Linux
OpenShift Container Platform
Primavera Gateway
Retail Xstore Point of Service
Banking Platform
OpenShift Application Runtimes
Jackson-databind
Financial Services Analytical Applications Infrastructure
Red Hat Process Automation Manager
Communications Instant Messaging Server
Siebel UI Framework
Red Hat AMQ Streams
JBoss Enterprise Application Platform
Red Hat Single Sign-On
Red Hat Descision Manager
JD Edwards EnterpriseOne Orchestrator
Siebel Engineering - Installer & Deployment
JBoss EAP
ОС ОН «Стрелец»

Версия ПО

9.2 (JD Edwards EnterpriseOne Tools)
16.2 (Primavera Unifier)
16.1 (Primavera Unifier)
от 17.1 до 17.12 включительно (Primavera Unifier)
29 (Fedora)
17.0 (Oracle Retail Customer Management and Segmentation Foundation)
8 (Red Hat Enterprise Linux)
7 (Red Hat JBoss Fuse)
30 (Fedora)
8 (Debian GNU/Linux)
3.9 (OpenShift Container Platform)
31 (Fedora)
18.8 (Primavera Unifier)
15.2 (Primavera Gateway)
16.2 (Primavera Gateway)
17.12 (Primavera Gateway)
18.8 (Primavera Gateway)
7.1 (Retail Xstore Point of Service)
15.0 (Retail Xstore Point of Service)
16.0 (Retail Xstore Point of Service)
17.0 (Retail Xstore Point of Service)
18.0 (Retail Xstore Point of Service)
от 2.4.0 до 2.7.1 включительно (Banking Platform)
1.0 (OpenShift Application Runtimes)
от 2.7.0 до 2.7.9.6 (Jackson-databind)
от 2.8.0 до 2.8.11.4 (Jackson-databind)
от 2.9.0 до 2.9.9.2 (Jackson-databind)
от 8.0.2 до 8.0.8 (Financial Services Analytical Applications Infrastructure)
7 (Red Hat Process Automation Manager)
10.0.1.3.0 (Communications Instant Messaging Server)
до 19.10 включительно (Siebel UI Framework)
1 (Red Hat AMQ Streams)
7.2 for RHEL 6 (JBoss Enterprise Application Platform)
7.2 for RHEL 7 (JBoss Enterprise Application Platform)
7.2 for RHEL 8 (JBoss Enterprise Application Platform)
7.3 (Red Hat Single Sign-On)
7 (Red Hat Descision Manager)
9.2 (JD Edwards EnterpriseOne Orchestrator)
до 19.8 включительно (Siebel Engineering - Installer & Deployment)
7.2 (JBoss EAP)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Прикладное ПО информационных систем
Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

Fedora Project Fedora 29
Red Hat Inc. Red Hat Enterprise Linux 8
Fedora Project Fedora 30
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Fedora Project Fedora 31
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://github.com/FasterXML/jackson-databind/compare/jackson-databind-2.9.9.1...jackson-databind-2.9.9.2
https://github.com/FasterXML/jackson-databind/issues/2387
Для Red Hat Enterprise Linux:
https://access.redhat.com/security/cve/cve-2019-14379
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-14379
https://lists.debian.org/debian-lts-announce/2019/08/msg00011.html
Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OVRZDN2T6AZ6DJCZJ3VSIQIVHBVMVWBL/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TXRVXNRFHJSQWFHPRJQRI5UPMZ63B544/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UKUALE2TUCKEKOHE2D342PQXN4MWCSLC/
Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 80%
0.01455
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-14379

CVSS3: 9.8
ubuntu
больше 6 лет назад

SubTypeValidator.java in FasterXML jackson-databind before 2.9.9.2 mishandles default typing when ehcache is used (because of net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup), leading to remote code execution.

redhat логотип

CVE-2019-14379

CVSS3: 9.8
redhat
больше 6 лет назад

SubTypeValidator.java in FasterXML jackson-databind before 2.9.9.2 mishandles default typing when ehcache is used (because of net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup), leading to remote code execution.

nvd логотип

CVE-2019-14379

CVSS3: 9.8
nvd
больше 6 лет назад

SubTypeValidator.java in FasterXML jackson-databind before 2.9.9.2 mishandles default typing when ehcache is used (because of net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup), leading to remote code execution.

debian логотип

CVE-2019-14379

CVSS3: 9.8
debian
больше 6 лет назад

SubTypeValidator.java in FasterXML jackson-databind before 2.9.9.2 mis ...

github логотип

GHSA-6fpp-rgj9-8rwc

CVSS3: 9.8
github
больше 6 лет назад

Deserialization of untrusted data in FasterXML jackson-databind

EPSS

Процентиль: 80%
0.01455
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2