ГлавнаяБаза уязвимостей БДУ → BDU:2019-04087
10критическая

BDU:2019-04087

Уязвимость функции FasterXM Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2019-11-19
Описание

Уязвимость функции FasterXML (net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup) Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
JD Edwards EnterpriseOne Tools (9.2)Primavera Unifier (16.2)Primavera Unifier (16.1)Primavera Unifier (от 17.1 до 17.12 включительно)Fedora (29)Oracle Retail Customer Management and Segmentation Foundation (17.0)Red Hat Enterprise Linux (8)Red Hat JBoss Fuse (7)Fedora (30)Debian GNU/Linux (8)OpenShift Container Platform (3.9)Fedora (31)Primavera Unifier (18.8)Primavera Gateway (15.2)Primavera Gateway (16.2)Primavera Gateway (17.12)Primavera Gateway (18.8)Retail Xstore Point of Service (7.1)Retail Xstore Point of Service (15.0)Retail Xstore Point of Service (16.0)Retail Xstore Point of Service (17.0)Retail Xstore Point of Service (18.0)Banking Platform (от 2.4.0 до 2.7.1 включительно)OpenShift Application Runtimes (1.0)Jackson-databind (от 2.7.0 до 2.7.9.6)Jackson-databind (от 2.8.0 до 2.8.11.4)Jackson-databind (от 2.9.0 до 2.9.9.2)Financial Services Analytical Applications Infrastructure (от 8.0.2 до 8.0.8)Red Hat Process Automation Manager (7)Communications Instant Messaging Server (10.0.1.3.0)
Способ устранения

Использование рекомендаций производителя:
https://github.com/FasterXML/jackson-databind/compare/jackson-databind-2.9.9.1...jackson-databind-2.9.9.2
https://github.com/FasterXML/jackson-databind/issues/2387

Для Red Hat Enterprise Linux:
https://access.redhat.com/security/cve/cve-2019-14379

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-14379
https://lists.debian.org/debian-lts-announce/2019/08/msg00011.html

Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OVRZDN2T6AZ6DJCZJ3VSIQIVHBVMVWBL/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TXRVXNRFHJSQWFHPRJQRI5UPMZ63B544/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UKUALE2TUCKEKOHE2D342PQXN4MWCSLC/

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://access.redhat.com/errata/RHBA-2019:2824https://access.redhat.com/errata/RHSA-2019:2743https://access.redhat.com/errata/RHSA-2019:2858https://access.redhat.com/errata/RHSA-2019:2935https://access.redhat.com/errata/RHSA-2019:2936https://access.redhat.com/errata/RHSA-2019:2937https://access.redhat.com/errata/RHSA-2019:2938https://access.redhat.com/errata/RHSA-2019:2998
Проверьте безопасность своего сайта и почты → Полная проверка домена