ГлавнаяБаза уязвимостей БДУ → BDU:2019-04777
10критическая

BDU:2019-04777 (CVE-2019-16943)

Уязвимость компонента P6DataSource библиотеки Jackson-databind проекта FasterXML, позволяющая нарушителю получить несанкционированный доступ к информации или вызвать отказ в обслуживании
Опубликовано: 2019-12-22
Описание

Уязвимость компонента P6DataSource библиотеки Jackson-databind проекта FasterXML связана с недостатком механизма проверки вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к информации или вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Fusion Middleware (12.2.1.3.0)Primavera Unifier (16.2)Primavera Unifier (16.1)Fusion Middleware (12.2.1.4.0)Astra Linux Common Edition (2.12 «Орёл»)Debian GNU/Linux (8)Debian GNU/Linux (10)Primavera Unifier (18.8)Jackson-databind (до 2.9.10)Primavera Unifier (19.12)Primavera Unifier (от 17.7 до 17.12 включительно)Banking Platform (2.5.0)Banking Platform (2.6.0)Banking Platform (2.6.1)Banking Platform (2.6.2)Communications Calendar Server (8.0.0.2.0)Communications Calendar Server (8.0.0.3.0)Primavera Gateway (от 17.12.0 до 17.12.6 включительно)Primavera Gateway (от 18.8.0 до 18.8.8 включительно)Primavera Gateway (19.12.0)Banking Platform (2.4.0)Banking Platform (2.4.1)Banking Platform (2.7.0)Banking Platform (2.7.1)Banking Platform (2.9.0)Fusion Middleware (13.9.4.2.2)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Jackson-databind проекта FasterXML:
Обновление программного обеспечения до 2.10.0-2 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета Jackson-databind проекта FasterXML) до 2.9.8-3+deb10u1 или более поздней версии

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpuapr2020.html

Для Astra Linux:
Обновление программного обеспечения (пакета Jackson-databind проекта FasterXML) до 2.9.8-3+deb10u1 или более поздней версии

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2019-16943https://security-tracker.debian.org/tracker/CVE-2019-16943https://www.oracle.com/security-alerts/cpuapr2020.htmlhttps://www.oracle.com/security-alerts/cpujan2020.htmlhttps://www.oracle.com/security-alerts/cpuapr2020.htmlhttps://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Проверьте безопасность своего сайта и почты → Полная проверка домена