ГлавнаяБаза уязвимостей БДУ → BDU:2019-04086
5высокая

BDU:2019-04086 (CVE-2019-14439)

Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2019-11-19
Описание

Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
Debian GNU/Linux (9)JD Edwards EnterpriseOne Tools (9.2)Primavera Unifier (16.2)Primavera Unifier (16.1)Primavera Unifier (от 17.1 до 17.12 включительно)Fedora (29)Oracle Retail Customer Management and Segmentation Foundation (17.0)Astra Linux Common Edition (2.12 «Орёл»)OpenShift Container Platform (4.1)Fedora (30)Debian GNU/Linux (8)OpenShift Container Platform (3.11)Jboss Fuse (7)Debian GNU/Linux (10)Primavera Unifier (18.8)Primavera Gateway (15.2)Primavera Gateway (16.2)Primavera Gateway (17.12)Primavera Gateway (18.8)Retail Xstore Point of Service (7.1)Retail Xstore Point of Service (15.0)Retail Xstore Point of Service (16.0)Retail Xstore Point of Service (17.0)Retail Xstore Point of Service (18.0)Banking Platform (от 2.4.0 до 2.7.1 включительно)Red Hat Software CollectionsOpenShift Container Platform (4.2)Jackson-databind (от 2.7.0 до 2.7.9.6)Jackson-databind (от 2.8.0 до 2.8.11.4)Jackson-databind (от 2.9.0 до 2.9.9.2)
Способ устранения

Использование рекомендаций:
Для jackson-databind:
https://github.com/FasterXML/jackson-databind/issues/2389
https://github.com/FasterXML/jackson-databind/compare/jackson-databind-2.9.9.1...jackson-databind-2.9.9.2
https://github.com/FasterXML/jackson-databind/commit/ad418eeb974e357f2797aef64aa0e3ffaaa6125b

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-14439

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/08/msg00011.html
https://www.debian.org/security/2019/dsa-4542

Для Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OVRZDN2T6AZ6DJCZJ3VSIQIVHBVMVWBL/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TXRVXNRFHJSQWFHPRJQRI5UPMZ63B544/

Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u6 или более поздней версии

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Оценка CVSS
Балл5 — высокая опасность
Источники и патчи
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.htmlhttps://github.com/FasterXML/jackson-databind/issues/2389https://nvd.nist.gov/vuln/detail/CVE-2019-14439https://access.redhat.com/security/cve/CVE-2019-14439https://security-tracker.debian.org/tracker/CVE-2019-14439https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OVRZDN2T6AZ6DJCZJ3VSIQIVHBVMVWBL/https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Проверьте безопасность своего сайта и почты → Полная проверка домена