ГлавнаяБаза уязвимостей БДУ → BDU:2019-04081
7.5критическая

BDU:2019-04081 (CVE-2019-16335)

Уязвимость функции FasterXML (com.zaxxer.hikari.HikariDataSource) Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю получить полный контроль над системой
Опубликовано: 2019-11-19
Описание

Уязвимость функции FasterXML (com.zaxxer.hikari.HikariDataSource) Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный контроль над системой

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Primavera Unifier (16.2)Primavera Unifier (16.1)Oracle Retail Customer Management and Segmentation Foundation (17.0)Oracle Retail Customer Management and Segmentation Foundation (18.0)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)OpenShift Container Platform (4.1)Fedora (30)Debian GNU/Linux (8)OpenShift Container Platform (3.11)Jboss Fuse (7)Debian GNU/Linux (10)Fedora (31)Primavera Unifier (от 17.7 до 17.12)Primavera Unifier (18.8)Primavera Gateway (15.2)Primavera Gateway (16.2)Primavera Gateway (17.12)Primavera Gateway (18.8)JBoss Enterprise Application Platform (7.2)Jackson-databind (до 2.9.10)Red Hat Software CollectionsOpenShift Container Platform (4.2)JBoss Enterprise Application Platform (7)JBoss Data Grid (7)Red Hat Process Automation Manager (7)Drill (1.16.0)Red Hat AMQ Streams (1)JBoss Enterprise Application Platform (7.2 for RHEL 6)
Способ устранения

Использование рекомендаций:
Для jackson-databind:
https://github.com/FasterXML/jackson-databind/issues/2449

Для программных продуктов Red Hat:
https://access.redhat.com/security/cve/CVE-2019-16335

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/Q7CANA7KV53JROZDX5Z5P26UG5VN2K43/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TH5VFUN4P7CCIP7KSEXYA5MUTFCUDUJT/

Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujul2020.html

Для Apache:
https://lists.apache.org/thread.html/dc6b5cad721a4f6b3b62ed1163894941140d9d5656140fb757505ca0@%3Cissues.hbase.apache.org%3E

Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u6 или более поздней версии

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2019-16335https://github.com/FasterXML/jackson-databind/issues/2449https://access.redhat.com/security/cve/CVE-2019-16335https://lists.debian.org/debian-lts-announce/2019/10/msg00001.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/Q7CANA7KV53JROZDX5Z5P26UG5VN2K43/https://security-tracker.debian.org/tracker/CVE-2019-16335https://www.oracle.com/security-alerts/cpujul2020.html
Проверьте безопасность своего сайта и почты → Полная проверка домена