ГлавнаяБаза уязвимостей БДУ → BDU:2018-00945
7.5критическая

BDU:2018-00945 (CVE-2018-7489)

Уязвимость компонента ObjectMapper библиотеки FasterXML jackson-databind, позволяющая нарушителю обойти ограничения «черного списка» и выполнить произвольный код
Опубликовано: 2018-08-03
Описание

Уязвимость компонента ObjectMapper библиотеки FasterXML jackson-databind связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти ограничения «черного списка» и выполнить произвольный код с использованием специально сформированных данных в формате JSON

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Jackson-databind (до 2.8.11.1)Jackson-databind (от 2.9.0 до 2.9.4 включительно)Astra Linux Common Edition (2.12 «Орёл»)Debian GNU/Linux (8)Communications Instant Messaging Server (10.0.1)Communications Billing and Revenue Management (7.5)Communications Billing and Revenue Management (12.0)Retail Workforce Management Software (1.60.9.0.0)Global Lifecycle Management (до 12.2.0.1.14)
Способ устранения

Использование рекомендаций:
Для jackson-databind:
обновление программного обеспечения до более поздней версии

Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html

Для Debian GNU/Linux:
https://www.debian.org/security/2018/dsa-4190

Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.9.8-3+deb10u1 или более поздней версии

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.htmlhttps://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.htmlhttps://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.htmlhttps://www.debian.org/security/2018/dsa-4190http://fasterxml.com/https://tools.cisco.com/security/center/viewAlert.x?alertId=57265https://access.redhat.com/security/cve/cve-2018-7489https://www.securityfocus.com/bid/103203
Проверьте безопасность своего сайта и почты → Полная проверка домена