Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-04251

Опубликовано: 19 июн. 2019
Источник: fstec
CVSS3: 5.9
CVSS2: 7.1
EPSS Средний

Описание

Уязвимость библиотеки Jackson-databind связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, читать произвольные файлы на сервере в результате отправки специально созданного JSON-сообщения

Вендор

Canonical Ltd.
Сообщество свободного программного обеспечения
Fedora Project
Red Hat Inc.
Oracle Corp.
FasterXML, LLC
АО «Концерн ВНИИНС»

Наименование ПО

Ubuntu
Debian GNU/Linux
Fedora
Red Hat Enterprise Linux
Red Hat JBoss Fuse
Database Server
Clusterware
Jackson-databind
Retail Customer Management and Segmentation Foundation
NoSQL Database
Red Hat Process Automation Manager
Red Hat AMQ Streams
JBoss Enterprise Application Platform
Red Hat Single Sign-On
Red Hat Descision Manager
Red Hat JBoss EAP
ОС ОН «Стрелец»

Версия ПО

16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
29 (Fedora)
8 (Red Hat Enterprise Linux)
7 (Red Hat JBoss Fuse)
12.1.0.2 (Database Server)
12.2.0.1 (Database Server)
18c (Database Server)
19c (Database Server)
30 (Fedora)
12.1.0.2.0 (Clusterware)
от 2.0.0 до 2.9.9 (Jackson-databind)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
31 (Fedora)
17.0 (Retail Customer Management and Segmentation Foundation)
19.0.0.0.0 (Clusterware)
до 19.3.12 (NoSQL Database)
19.10 (Ubuntu)
7 (Red Hat Process Automation Manager)
6 (Red Hat JBoss Fuse)
1 (Red Hat AMQ Streams)
7.2 for RHEL 6 (JBoss Enterprise Application Platform)
7.2 for RHEL 7 (JBoss Enterprise Application Platform)
7.2 for RHEL 8 (JBoss Enterprise Application Platform)
7.3 (Red Hat Single Sign-On)
7 (Red Hat Descision Manager)
7.2 (Red Hat JBoss EAP)
20.04 (Ubuntu)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
СУБД
Сетевое программное средство

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Fedora Project Fedora 29
Red Hat Inc. Red Hat Enterprise Linux 8
Fedora Project Fedora 30
Oracle Corp. Clusterware 12.1.0.2.0
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Fedora Project Fedora 31
Oracle Corp. Clusterware 19.0.0.0.0
Canonical Ltd. Ubuntu 19.10
Canonical Ltd. Ubuntu 20.04
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Jackson-databind:
https://github.com/FasterXML/jackson-databind/issues/2341
Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OVRZDN2T6AZ6DJCZJ3VSIQIVHBVMVWBL/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TXRVXNRFHJSQWFHPRJQRI5UPMZ63B544/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UKUALE2TUCKEKOHE2D342PQXN4MWCSLC/
Для Debian:
https://lists.debian.org/debian-lts-announce/2019/06/msg00019.html
Для программных продуктов Red Hat:
https://access.redhat.com/security/cve/CVE-2019-12814
Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-12814.html
Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии
Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 95%
0.18339
Средний

5.9 Medium

CVSS3

7.1 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-12814

CVSS3: 5.9
ubuntu
больше 6 лет назад

A Polymorphic Typing issue was discovered in FasterXML jackson-databind 2.x through 2.9.9. When Default Typing is enabled (either globally or for a specific property) for an externally exposed JSON endpoint and the service has JDOM 1.x or 2.x jar in the classpath, an attacker can send a specifically crafted JSON message that allows them to read arbitrary local files on the server.

redhat логотип

CVE-2019-12814

CVSS3: 7.5
redhat
больше 6 лет назад

A Polymorphic Typing issue was discovered in FasterXML jackson-databind 2.x through 2.9.9. When Default Typing is enabled (either globally or for a specific property) for an externally exposed JSON endpoint and the service has JDOM 1.x or 2.x jar in the classpath, an attacker can send a specifically crafted JSON message that allows them to read arbitrary local files on the server.

nvd логотип

CVE-2019-12814

CVSS3: 5.9
nvd
больше 6 лет назад

A Polymorphic Typing issue was discovered in FasterXML jackson-databind 2.x through 2.9.9. When Default Typing is enabled (either globally or for a specific property) for an externally exposed JSON endpoint and the service has JDOM 1.x or 2.x jar in the classpath, an attacker can send a specifically crafted JSON message that allows them to read arbitrary local files on the server.

debian логотип

CVE-2019-12814

CVSS3: 5.9
debian
больше 6 лет назад

A Polymorphic Typing issue was discovered in FasterXML jackson-databin ...

github логотип

GHSA-cmfg-87vq-g5g4

CVSS3: 5.9
github
больше 6 лет назад

Deserialization of untrusted data in FasterXML jackson-databind

EPSS

Процентиль: 95%
0.18339
Средний

5.9 Medium

CVSS3

7.1 High

CVSS2