ГлавнаяБаза уязвимостей БДУ → BDU:2019-02899
7.8высокая

BDU:2019-02899

Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю получить доступ к конфиденциальным данным
Опубликовано: 2019-08-16
Описание

Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с возможностью чтения произвольных локальных файлов на сервере в случае, когда активирована типизация по умолчанию, и специальный jar-коннектор mysql-connector-java, находится в пути к классам для конечной точки JSON. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным с помощью отправки специально созданного JSON-сообщения

Затрагиваемое ПО и версии
Debian GNU/Linux (9)JD Edwards EnterpriseOne Tools (9.2)Primavera Unifier (16.2)Primavera Unifier (16.1)WebCenter Portal (12.2.1.3.0)Fedora (29)OpenSUSE Leap (15)Oracle Retail Customer Management and Segmentation Foundation (16.0)Oracle Retail Customer Management and Segmentation Foundation (17.0)Oracle Retail Customer Management and Segmentation Foundation (18.0)Retail Xstore Point of Service (7.0)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)Red Hat JBoss Fuse (7)Fedora (30)Jackson-databind (от 2.0.0 до 2.9.9)Debian GNU/Linux (8)Communications Billing and Revenue Management (7.5)Communications Billing and Revenue Management (12.0)Fedora (31)Primavera Unifier (18.8)Communications Unified (8.0.0.2.0)Primavera Gateway (15.2)Primavera Gateway (16.2)Primavera Gateway (17.12)Primavera Gateway (18.8)Enterprise Manager for Virtualization (13.1)Enterprise Manager for Virtualization (13.2)Enterprise Manager for Virtualization (13.3)Retail Customer Management and Segmentation Foundation (18.0)
Способ устранения

Использование рекомендаций:
Для jackson-databind:
https://github.com/FasterXML/jackson/wiki/Jackson-Release-2.9.9
https://github.com/FasterXML/jackson-databind/issues/2326

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UKUALE2TUCKEKOHE2D342PQXN4MWCSLC/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TXRVXNRFHJSQWFHPRJQRI5UPMZ63B544/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OVRZDN2T6AZ6DJCZJ3VSIQIVHBVMVWBL/

Для Debian:
https://www.debian.org/security/2019/dsa-4452
https://lists.debian.org/debian-lts-announce/2019/05/msg00030.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-12086

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2018-12086/

Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u5 или более поздней версии

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
http://russiansecurity.expert/2016/04/20/mysql-connect-file-read/http://www.securityfocus.com/bid/109227https://access.redhat.com/errata/RHSA-2019:2858https://access.redhat.com/errata/RHSA-2019:2935https://access.redhat.com/errata/RHSA-2019:2936https://access.redhat.com/errata/RHSA-2019:2937https://access.redhat.com/errata/RHSA-2019:2938https://access.redhat.com/errata/RHSA-2019:2998
Проверьте безопасность своего сайта и почты → Полная проверка домена