ГлавнаяБаза уязвимостей БДУ → BDU:2019-02925
7.1высокая

BDU:2019-02925

Уязвимость класса logback-core библиотеки Jackson-databind, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2019-08-20
Описание

Уязвимость класса logback-core библиотеки Jackson-databind связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Debian GNU/Linux (9)OpenSUSE Leap (42.3)Fedora (29)OpenSUSE Leap (15)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)Red Hat JBoss Fuse (7)Fedora (30)Jackson-databind (от 2.0.0 до 2.9.9)Debian GNU/Linux (8)Debian GNU/Linux (10)Fedora (31)Retail Customer Management and Segmentation Foundation (17.0)JBoss A-MQ (6.3)OpenShift Application Runtimes (1.0)NoSQL Database (до 19.3.12 включительно)OpenShift Application RuntimesRed Hat Process Automation Manager (7)Red Hat AMQ Streams (1)JBoss Enterprise Application Platform (7.2 for RHEL 6)JBoss Enterprise Application Platform (7.2 for RHEL 7)JBoss Enterprise Application Platform (7.2 for RHEL 8)Red Hat Descision Manager (7)Red Hat JBoss Fuse (6.3)Red Hat JBoss EAP (7.2)GoldenGate Stream Analytics (до 19.1.0.0.1)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Jackson-databind:
https://github.com/FasterXML/jackson-databind/compare/74b90a4...a977aad

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OVRZDN2T6AZ6DJCZJ3VSIQIVHBVMVWBL/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TXRVXNRFHJSQWFHPRJQRI5UPMZ63B544/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UKUALE2TUCKEKOHE2D342PQXN4MWCSLC/

Для Debian:
https://www.debian.org/security/2019/dsa-4542
https://lists.debian.org/debian-lts-announce/2019/06/msg00019.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-12384

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2018-12384/

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u6 или более поздней версии

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://access.redhat.com/errata/RHSA-2019:1820https://access.redhat.com/errata/RHSA-2019:2720https://access.redhat.com/errata/RHSA-2019:2858https://access.redhat.com/errata/RHSA-2019:2935https://access.redhat.com/errata/RHSA-2019:2936https://access.redhat.com/errata/RHSA-2019:2937https://access.redhat.com/errata/RHSA-2019:2938https://access.redhat.com/errata/RHSA-2019:2998
Проверьте безопасность своего сайта и почты → Полная проверка домена