ГлавнаяБаза уязвимостей БДУ → BDU:2019-04251
7.1высокая

BDU:2019-04251 (CVE-2019-12814)

Уязвимость библиотеки Jackson-databind, связанная с отсутствием защиты служебных данных, позволяющая нарушителю читать произвольные файлы на сервере
Опубликовано: 2019-11-25
Описание

Уязвимость библиотеки Jackson-databind связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, читать произвольные файлы на сервере в результате отправки специально созданного JSON-сообщения

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Fedora (29)Red Hat Enterprise Linux (8)Red Hat JBoss Fuse (7)Database Server (12.1.0.2)Database Server (12.2.0.1)Database Server (18c)Database Server (19c)Fedora (30)Clusterware (12.1.0.2.0)Jackson-databind (от 2.0.0 до 2.9.9)Debian GNU/Linux (8)Debian GNU/Linux (10)Fedora (31)Retail Customer Management and Segmentation Foundation (17.0)Clusterware (19.0.0.0.0)NoSQL Database (до 19.3.12)Ubuntu (19.10)Red Hat Process Automation Manager (7)Red Hat JBoss Fuse (6)Red Hat AMQ Streams (1)JBoss Enterprise Application Platform (7.2 for RHEL 6)JBoss Enterprise Application Platform (7.2 for RHEL 7)JBoss Enterprise Application Platform (7.2 for RHEL 8)Red Hat Single Sign-On (7.3)Red Hat Descision Manager (7)Red Hat JBoss EAP (7.2)Ubuntu (20.04)
Способ устранения

Использование рекомендаций:
Для Jackson-databind:
https://github.com/FasterXML/jackson-databind/issues/2341

Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OVRZDN2T6AZ6DJCZJ3VSIQIVHBVMVWBL/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TXRVXNRFHJSQWFHPRJQRI5UPMZ63B544/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UKUALE2TUCKEKOHE2D342PQXN4MWCSLC/

Для Debian:
https://lists.debian.org/debian-lts-announce/2019/06/msg00019.html

Для программных продуктов Red Hat:
https://access.redhat.com/security/cve/CVE-2019-12814

Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-12814.html

Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2019-12814https://github.com/FasterXML/jackson-databind/issues/2341https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Проверьте безопасность своего сайта и почты → Полная проверка домена