ГлавнаяБаза уязвимостей БДУ → BDU:2019-02896
10критическая

BDU:2019-02896 (CVE-2018-19360)

Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю оказать воздействие на целостность данных, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании
Опубликовано: 2019-08-16
Описание

Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с неспособностью заблокировать класс axis2-transport-jms от полиморфной десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Business Process Management Suite (12.1.3.0.0)Business Process Management Suite (12.2.1.3.0)JD Edwards EnterpriseOne Tools (9.2)Primavera Unifier (16.2)Primavera Unifier (16.1)Primavera P6 Enterprise Project Portfolio Management (15.1)Primavera P6 Enterprise Project Portfolio Management (15.2)Primavera P6 Enterprise Project Portfolio Management (16.1)Primavera P6 Enterprise Project Portfolio Management (16.2)Primavera P6 Enterprise Project Portfolio Management (18.8)WebCenter Portal (12.2.1.3.0)Primavera P6 Enterprise Project Portfolio Management (от 17.7 до 17.12)Retail Xstore Point of Service (7.0)Red Hat Enterprise Linux (7.4 EUS)Red Hat Enterprise Linux (7.5 EUS)Red Hat Enterprise Linux (7.6 EUS)Jackson-databind (от 2.0.0 до 2.9.8)Debian GNU/Linux (8)OpenShift Container Platform (3.11)Communications Billing and Revenue Management (7.5)Communications Billing and Revenue Management (12.0)Retail Workforce Management Software (1.60.9.0.0)Jboss BRMS (6.4)Primavera Unifier (от 17.7 до 17.12)Primavera Unifier (18.8)Communications Unified (8.0.0.2.0)Primavera Gateway (15.2)Primavera Gateway (16.2)
Способ устранения

Использование рекомендаций:
Для jackson-databind:
https://github.com/FasterXML/jackson-databind/commit/42912cac4753f3f718ece875e4d486f8264c2f2b
https://github.com/FasterXML/jackson-databind/issues/2186
https://github.com/FasterXML/jackson/wiki/Jackson-Release-2.9.8

Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html

Для Debian GNU/Linux:
https://www.debian.org/security/2019/dsa-4452

Для программных продуктов Red Hat Inc.:
https://bugzilla.redhat.com/show_bug.cgi?id=1666482
https://access.redhat.com/security/cve/cve-2018-19360

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/FasterXML/jackson-databind/commit/42912cac4753f3f718ece875e4d486f8264c2f2bhttps://github.com/FasterXML/jackson-databind/issues/2186https://github.com/FasterXML/jackson/wiki/Jackson-Release-2.9.8https://nvd.nist.gov/vuln/detail/CVE-2018-19360https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.htmlhttps://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.htmlhttps://www.debian.org/security/2019/dsa-4452https://bugzilla.redhat.com/show_bug.cgi?id=1666482
Проверьте безопасность своего сайта и почты → Полная проверка домена