ГлавнаяБаза уязвимостей БДУ → BDU:2019-04253
7.8высокая

BDU:2019-04253 (CVE-2019-12086)

Уязвимость библиотеки Jackson-databind, связанная с отсутствием защиты служебных данных, позволяющая нарушителю прочитать произвольные файлы на сервере
Опубликовано: 2019-11-25
Описание

Уязвимость библиотеки Jackson-databind связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, прочитать произвольные файлы на сервере с помощью специально созданного JSON-сообщения

Затрагиваемое ПО и версии
Jackson-databind (от 2.0.0 до 2.9.9)Retail Customer Management and Segmentation Foundation (18.0)NoSQL Database (до 19.3.12 включительно)GoldenGate Stream Analytics (до 19.1.0.0.1)РЕД ОС (7.3)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для программных средств Oracle:
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html
https://www.oracle.com/security-alerts/cpujul2020.html

Обновление библиотеки Jackson-databind до версии 2.9.9, 2.8.11.4, 2.7.9.6, 2.6.7.3 или новее

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2019-12086https://github.com/FasterXML/jackson/wiki/Jackson-Release-2.9.9https://github.com/FasterXML/jackson-databind/issues/2326https://www.oracle.com/security-alerts/cpujul2020.htmlhttp://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена