10критическая
BDU:2019-01372 (CVE-2018-14718)
Уязвимость библиотеки Jackson-databind, вызванная отсутствием защиты класса slf4j-ext от полиморфной десериализации, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2019-04-12
Описание
Уязвимость библиотеки Jackson-databind вызвана отсутствием защиты класса slf4j-ext от полиморфной десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Затрагиваемое ПО и версии
Primavera Unifier (16.2)Primavera Unifier (16.1)Primavera Unifier (от 17.1 до 17.12 включительно)WebCenter Portal (12.2.1.3.0)Jackson-databind (до 2.6.7.2)Jackson-databind (от 2.7.0 до 2.7.9.5)Jackson-databind (от 2.8.0 до 2.8.11.3)Jackson-databind (от 2.9.0 до 2.9.7)Oracle Retail Merchandising System (15.0)Oracle Retail Merchandising System (16.0)Oracle JDeveloper (12.1.3.0.0)Oracle JDeveloper (12.2.1.3.0)Debian GNU/Linux (8)OpenShift Container Platform (3.9)OpenShift Container Platform (3.7)OpenShift Container Platform (3.6)Communications Billing and Revenue Management (7.5)Communications Billing and Revenue Management (12.0)Primavera Unifier (18.8)NoSQL Database (до 19.3.12 включительно)Financial Services Analytical Applications Infrastructure (от 8.0.2 до 8.0.8)Enterprise Manager for Virtualization (13.2.2)Enterprise Manager for Virtualization (13.2.3)Enterprise Manager for Virtualization (13.3.1)Banking Platform (2.5.0)Banking Platform (2.6.0)Banking Platform (2.6.1)Banking Platform (2.6.2)
Способ устранения
Обновление программного обеспечения до более поздней версии
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/public-vuln-to-advisory-mapping.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2018-14718
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи