Описание
Уязвимость реализации механизма полиморфной типизации данных библиотеки FasterXML Jackson-databind связана с недостатками обработки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный контроль над приложением с помощью класса net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup
Вендор
Canonical Ltd.
Сообщество свободного программного обеспечения
Oracle Corp.
ООО «РусБИТех-Астра»
Red Hat Inc.
FasterXML, LLC
Apache Software Foundation
АО «НТЦ ИТ РОСА»
АО «Концерн ВНИИНС»
Наименование ПО
Ubuntu
Debian GNU/Linux
WebCenter Portal
WebLogic Server
Astra Linux Common Edition
Red Hat JBoss Fuse
Retail Customer Management and Segmentation Foundation
JBoss Enterprise Application Platform
Jackson-databind
JBoss Data Grid
OpenShift Application Runtimes
Red Hat Process Automation Manager
Drill
Red Hat AMQ Streams
Red Hat Single Sign-On
OpenShift Container Platform
Red Hat Descision Manager
Oracle GoldenGate Application Adapters
РОСА ХРОМ
ОС ОН «Стрелец»
Версия ПО
16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
12.2.1.3.0 (WebCenter Portal)
12.04 ESM (Ubuntu)
12.2.1.3.0 (WebLogic Server)
2.12 «Орёл» (Astra Linux Common Edition)
7 (Red Hat JBoss Fuse)
14.04 ESM (Ubuntu)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
17.0 (Retail Customer Management and Segmentation Foundation)
18.0 (Retail Customer Management and Segmentation Foundation)
7.2 (JBoss Enterprise Application Platform)
до 2.9.10 (Jackson-databind)
19.10 (Ubuntu)
7 (JBoss Enterprise Application Platform)
7 (JBoss Data Grid)
- (OpenShift Application Runtimes)
7 (Red Hat Process Automation Manager)
1.16.0 (Drill)
1 (Red Hat AMQ Streams)
7.2 for RHEL 6 (JBoss Enterprise Application Platform)
7.2 for RHEL 7 (JBoss Enterprise Application Platform)
7.2 for RHEL 8 (JBoss Enterprise Application Platform)
7.3 (Red Hat Single Sign-On)
4.3 (OpenShift Container Platform)
7 (Red Hat Descision Manager)
12.2.1.4.0 (WebCenter Portal)
19.1.0.0.0 (Oracle GoldenGate Application Adapters)
12.4 (РОСА ХРОМ)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система
Сетевое программное средство
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 12.04 ESM
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Red Hat Inc. Red Hat JBoss Fuse 7
Canonical Ltd. Ubuntu 14.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Oracle Corp. Retail Customer Management and Segmentation Foundation 17.0
Red Hat Inc. JBoss Enterprise Application Platform 7.2
FasterXML, LLC Jackson-databind до 2.9.10
Canonical Ltd. Ubuntu 19.10
Red Hat Inc. JBoss Enterprise Application Platform 7
Red Hat Inc. JBoss Data Grid 7
Red Hat Inc. OpenShift Application Runtimes -
Red Hat Inc. Red Hat Process Automation Manager 7
Apache Software Foundation Drill 1.16.0
Red Hat Inc. Red Hat AMQ Streams 1
Red Hat Inc. JBoss Enterprise Application Platform 7.2 for RHEL 6
Red Hat Inc. JBoss Enterprise Application Platform 7.2 for RHEL 7
Red Hat Inc. JBoss Enterprise Application Platform 7.2 for RHEL 8
Red Hat Inc. Red Hat Single Sign-On 7.3
Red Hat Inc. OpenShift Container Platform 4.3
Red Hat Inc. Red Hat Descision Manager 7
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Jackson-databind:
https://github.com/FasterXML/jackson-databind/compare/jackson-databind-2.9.9.3...jackson-databind-2.9.10
https://github.com/FasterXML/jackson-databind/issues/2460
Для программных продуктов продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-17267
Для Apache Drill:
https://lists.apache.org/thread.html/519eb0fd45642dcecd9ff74cb3e71c20a4753f7d82e2f07864b5108f@%3Cdev.drill.apache.org%3E
https://lists.apache.org/thread.html/b0656d359c7d40ec9f39c8cc61bca66802ef9a2a12ee199f5b0c1442@%3Cdev.drill.apache.org%3E
https://lists.apache.org/thread.html/f9bc3e55f4e28d1dcd1a69aae6d53e609a758e34d2869b4d798e13cc@%3Cissues.drill.apache.org%3E
https://lists.apache.org/thread.html/r392099ed2757ff2e383b10440594e914d080511d7da1c8fed0612c1f@%3Ccommits.druid.apache.org%3E
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/12/msg00013.html
https://security-tracker.debian.org/tracker/CVE-2019-17267
Для программных продуктов Oracle Inc.:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-17267.html
Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии
Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 79%
0.01195
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.8
ubuntu
больше 6 лет назад
A Polymorphic Typing issue was discovered in FasterXML jackson-databind before 2.9.10. It is related to net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup.
CVSS3: 7.5
redhat
больше 6 лет назад
A Polymorphic Typing issue was discovered in FasterXML jackson-databind before 2.9.10. It is related to net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup.
CVSS3: 9.8
nvd
больше 6 лет назад
A Polymorphic Typing issue was discovered in FasterXML jackson-databind before 2.9.10. It is related to net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup.
CVSS3: 9.8
debian
больше 6 лет назад
A Polymorphic Typing issue was discovered in FasterXML jackson-databin ...
EPSS
Процентиль: 79%
0.01195
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2