10критическая
BDU:2019-04777 (CVE-2019-16943)
Уязвимость компонента P6DataSource библиотеки Jackson-databind проекта FasterXML, позволяющая нарушителю получить несанкционированный доступ к информации или вызвать отказ в обслуживании
Опубликовано: 2019-12-22
Описание
Уязвимость компонента P6DataSource библиотеки Jackson-databind проекта FasterXML связана с недостатком механизма проверки вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к информации или вызвать отказ в обслуживании
Затрагиваемое ПО и версии
Debian GNU/Linux (9)Fusion Middleware (12.2.1.3.0)Primavera Unifier (16.2)Primavera Unifier (16.1)Fusion Middleware (12.2.1.4.0)Astra Linux Common Edition (2.12 «Орёл»)Debian GNU/Linux (8)Debian GNU/Linux (10)Primavera Unifier (18.8)Jackson-databind (до 2.9.10)Primavera Unifier (19.12)Primavera Unifier (от 17.7 до 17.12 включительно)Banking Platform (2.5.0)Banking Platform (2.6.0)Banking Platform (2.6.1)Banking Platform (2.6.2)Communications Calendar Server (8.0.0.2.0)Communications Calendar Server (8.0.0.3.0)Primavera Gateway (от 17.12.0 до 17.12.6 включительно)Primavera Gateway (от 18.8.0 до 18.8.8 включительно)Primavera Gateway (19.12.0)Banking Platform (2.4.0)Banking Platform (2.4.1)Banking Platform (2.7.0)Banking Platform (2.7.1)Banking Platform (2.9.0)Fusion Middleware (13.9.4.2.2)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения
Использование рекомендаций:
Для Jackson-databind проекта FasterXML:
Обновление программного обеспечения до 2.10.0-2 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета Jackson-databind проекта FasterXML) до 2.9.8-3+deb10u1 или более поздней версии
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpuapr2020.html
Для Astra Linux:
Обновление программного обеспечения (пакета Jackson-databind проекта FasterXML) до 2.9.8-3+deb10u1 или более поздней версии
Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи