ГлавнаяБаза уязвимостей БДУ → BDU:2019-04085
7.5критическая

BDU:2019-04085 (CVE-2019-14540)

Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю получить полный контроль над системой
Опубликовано: 2019-11-19
Описание

Уязвимость функции FasterXML (com.zaxxer.hikari.HikariConfig) Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный контроль над системой

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Primavera Unifier (16.2)Primavera Unifier (16.1)Oracle Retail Customer Management and Segmentation Foundation (17.0)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)OpenShift Container Platform (4.1)Fedora (30)Debian GNU/Linux (8)OpenShift Container Platform (3.11)Debian GNU/Linux (10)Fedora (31)Primavera Unifier (от 17.7 до 17.12)Primavera Unifier (18.8)Primavera Gateway (15.2)Primavera Gateway (16.2)Primavera Gateway (17.12)Primavera Gateway (18.8)Retail Xstore Point of Service (7.1)Retail Xstore Point of Service (15.0)Retail Xstore Point of Service (16.0)Retail Xstore Point of Service (17.0)Retail Xstore Point of Service (18.0)Banking Platform (от 2.4.0 до 2.7.1 включительно)Jackson-databind (до 2.9.10)Red Hat Software CollectionsOpenShift Container Platform (4.2)Financial Services Analytical Applications Infrastructure (от 8.0.2 до 8.0.8)РОСА ХРОМ (12.4)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций производителя:
Для программных продуктов FasterXML:
https://github.com/FasterXML/jackson-databind/issues/2410

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-14540?extIdCarryOver=true&sc_cid=701f2000001OH7JAAW

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-14540

Для Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TH5VFUN4P7CCIP7KSEXYA5MUTFCUDUJT/

Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html

Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u6 или более поздней версии

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2019-14540https://access.redhat.com/security/cve/CVE-2019-14540?extIdCarryOver=true&sc_cid=701f2000001OH7JAAWhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TH5VFUN4P7CCIP7KSEXYA5MUTFCUDUJT/https://security-tracker.debian.org/tracker/CVE-2019-14540https://github.com/FasterXML/jackson-databind/issues/2410https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023https://abf.rosa.ru/advisories/ROSA-SA-2025-2629
Проверьте безопасность своего сайта и почты → Полная проверка домена