ГлавнаяБаза уязвимостей БДУ → BDU:2019-02898
10критическая

BDU:2019-02898 (CVE-2018-19362)

Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю оказать воздействие на целостность данных, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании
Опубликовано: 2019-08-16
Описание

Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с блокировкой класса jboss-common-core от полиморфной десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Business Process Management Suite (12.1.3.0.0)Business Process Management Suite (12.2.1.3.0)JD Edwards EnterpriseOne Tools (9.2)Primavera Unifier (16.2)Primavera Unifier (16.1)Primavera P6 Enterprise Project Portfolio Management (15.1)Primavera P6 Enterprise Project Portfolio Management (15.2)Primavera P6 Enterprise Project Portfolio Management (16.1)Primavera P6 Enterprise Project Portfolio Management (16.2)Primavera P6 Enterprise Project Portfolio Management (18.8)WebCenter Portal (12.2.1.3.0)Primavera P6 Enterprise Project Portfolio Management (от 17.7 до 17.12)Retail Xstore Point of Service (7.0)Red Hat Enterprise Linux (7.4 EUS)Red Hat Enterprise Linux (7.5 EUS)Red Hat Enterprise Linux (7.6 EUS)Jackson-databind (от 2.0.0 до 2.9.8)Debian GNU/Linux (8)OpenShift Container Platform (3.11)Communications Billing and Revenue Management (7.5)Communications Billing and Revenue Management (12.0)Retail Workforce Management Software (1.60.9.0.0)Jboss BRMS (6.4)Primavera Unifier (от 17.7 до 17.12)Primavera Unifier (18.8)Communications Unified (8.0.0.2.0)Primavera Gateway (15.2)Primavera Gateway (16.2)
Способ устранения

Использование рекомендаций:
Для jackson-databind:
https://github.com/FasterXML/jackson-databind/commit/42912cac4753f3f718ece875e4d486f8264c2f2b

Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

Для Debian GNU/Linux:
https://www.debian.org/security/2019/dsa-4452

Для программных продуктов Red Hat Inc.:
https://bugzilla.redhat.com/show_bug.cgi?id=1666489
https://access.redhat.com/security/cve/cve-2018-19362
https://access.redhat.com/errata/RHBA-2019:0959

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.htmlhttps://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2018-19362https://www.debian.org/security/2019/dsa-4452https://github.com/FasterXML/jackson-databind/commit/42912cac4753f3f718ece875e4d486f8264c2f2bhttps://bugzilla.redhat.com/show_bug.cgi?id=1666489https://access.redhat.com/security/cve/cve-2018-19362https://access.redhat.com/errata/RHBA-2019:0959
Проверьте безопасность своего сайта и почты → Полная проверка домена