BDU:2019-04782

Опубликовано: 27 сент. 2019

Источник: fstec

CVSS3: 9.8

CVSS2: 10

Описание

Уязвимость реализации механизма полиморфной типизации данных библиотеки jackson-databind связана с недостатками обработки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить вредоносную нагрузку с помощью класса com.p6spy.engine.spy.P6DataSource

Вендор

Сообщество свободного программного обеспечения

Oracle Corp.

Red Hat Inc.

Fedora Project

FasterXML, LLC

Apache Software Foundation

АО «НТЦ ИТ РОСА»

АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux

JD Edwards EnterpriseOne Tools

WebCenter Portal

Oracle Retail Customer Management and Segmentation Foundation

Red Hat Enterprise Linux

Red Hat JBoss Fuse

Fedora

Retail Customer Management and Segmentation Foundation

Retail Xstore Point of Service

JBoss Enterprise Application Platform

Jackson-databind

JBoss Data Grid

OpenShift Application Runtimes

Red Hat Process Automation Manager

Drill

Red Hat Single Sign-On

OpenShift Container Platform

Red Hat Descision Manager

JD Edwards EnterpriseOne Orchestrator

JBoss A-MQ Streaming

Siebel UI Framework

Communications Billing and Revenue Management

Oracle Retail Merchandising System

Oracle Retail Sales Audit

Siebel Engineering - Installer & Deployment

Oracle Global Lifecycle Management OPatch

РОСА ХРОМ

ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)

9.2 (JD Edwards EnterpriseOne Tools)

12.2.1.3.0 (WebCenter Portal)

17.0 (Oracle Retail Customer Management and Segmentation Foundation)

8 (Red Hat Enterprise Linux)

7 (Red Hat JBoss Fuse)

30 (Fedora)

8 (Debian GNU/Linux)

10 (Debian GNU/Linux)

31 (Fedora)

18.0 (Retail Customer Management and Segmentation Foundation)

15.0 (Retail Xstore Point of Service)

16.0 (Retail Xstore Point of Service)

17.0 (Retail Xstore Point of Service)

18.0 (Retail Xstore Point of Service)

7.2 (JBoss Enterprise Application Platform)

19.0.0 (Retail Xstore Point of Service)

от 2.0.0 до 2.9.10 включительно (Jackson-databind)

7 (JBoss Enterprise Application Platform)

7 (JBoss Data Grid)

- (OpenShift Application Runtimes)

7 (Red Hat Process Automation Manager)

1.16.0 (Drill)

7.2 for RHEL 6 (JBoss Enterprise Application Platform)

7.2 for RHEL 7 (JBoss Enterprise Application Platform)

7.2 for RHEL 8 (JBoss Enterprise Application Platform)

7.3 (Red Hat Single Sign-On)

4.3 (OpenShift Container Platform)

7 (Red Hat Descision Manager)

9.2 (JD Edwards EnterpriseOne Orchestrator)

- (JBoss A-MQ Streaming)

12.2.1.4.0 (WebCenter Portal)

до 20.5 включительно (Siebel UI Framework)

7.5.0.23.0 (Communications Billing and Revenue Management)

12.0.0.3.0 (Communications Billing and Revenue Management)

15.0.3 (Oracle Retail Merchandising System)

16.0.2 (Oracle Retail Merchandising System)

16.0.3 (Oracle Retail Merchandising System)

14.1 (Oracle Retail Sales Audit)

до 2.20.5 включительно (Siebel Engineering - Installer & Deployment)

до 12.2.0.1.20 включительно (Oracle Global Lifecycle Management OPatch)

12.4 (РОСА ХРОМ)

до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Red Hat Inc. Red Hat Enterprise Linux 8

Fedora Project Fedora 30

Сообщество свободного программного обеспечения Debian GNU/Linux 8

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Fedora Project Fedora 31

АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для jackson-databind:

https://github.com/FasterXML/jackson-databind/issues/2478

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2019-16943

Для Apache:

https://lists.apache.org/thread.html/5ec8d8d485c2c8ac55ea425f4cd96596ef37312532712639712ebcdd@%3Ccommits.iceberg.apache.org%3E

Для Debian:

https://lists.debian.org/debian-lts-announce/2019/10/msg00001.html

https://www.debian.org/security/2019/dsa-4542

Для Fedora:

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/Q7CANA7KV53JROZDX5Z5P26UG5VN2K43/

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TH5VFUN4P7CCIP7KSEXYA5MUTFCUDUJT/

Для программных продуктов Oracle Corp.:

https://www.oracle.com/security-alerts/cpujan2020.html

https://www.oracle.com/security-alerts/cpujul2020.html

Для ОС ОН «Стрелец»:

Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

9.8 Critical

CVSS3

10 Critical

CVSS2

9.8 Critical

CVSS3

10 Critical

CVSS2