10критическая
BDU:2019-02897 (CVE-2018-19361)
Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
Опубликовано: 2019-08-16
Описание
Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с неспособностью заблокировать класс openjpa от полиморфной десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код или вызвать отказ в обслуживании
Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Business Process Management Suite (12.1.3.0.0)Business Process Management Suite (12.2.1.3.0)JD Edwards EnterpriseOne Tools (9.2)Primavera Unifier (16.2)Primavera Unifier (16.1)Primavera P6 Enterprise Project Portfolio Management (15.1)Primavera P6 Enterprise Project Portfolio Management (15.2)Primavera P6 Enterprise Project Portfolio Management (16.1)Primavera P6 Enterprise Project Portfolio Management (16.2)Primavera P6 Enterprise Project Portfolio Management (18.8)WebCenter Portal (12.2.1.3.0)Primavera P6 Enterprise Project Portfolio Management (от 17.7 до 17.12)Retail Xstore Point of Service (7.0)Red Hat Enterprise Linux (7.4 EUS)Red Hat Enterprise Linux (7.5 EUS)Red Hat Enterprise Linux (7.6 EUS)Jackson-databind (от 2.0.0 до 2.9.8)Debian GNU/Linux (8)OpenShift Container Platform (3.11)Communications Billing and Revenue Management (7.5)Communications Billing and Revenue Management (12.0)Retail Workforce Management Software (1.60.9.0.0)Jboss BRMS (6.4)Primavera Unifier (от 17.7 до 17.12)Primavera Unifier (18.8)Communications Unified (8.0.0.2.0)Primavera Gateway (15.2)Primavera Gateway (16.2)
Способ устранения
Использование рекомендаций:
Для jackson-databind:
https://github.com/FasterXML/jackson-databind/commit/42912cac4753f3f718ece875e4d486f8264c2f2b
https://github.com/FasterXML/jackson-databind/issues/2186
Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
Для Debian GNU/Linux:
https://www.debian.org/security/2019/dsa-4452
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2018-19361
https://bugzilla.redhat.com/show_bug.cgi?id=1666484
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи