ГлавнаяБаза уязвимостей БДУ → BDU:2019-04778
7.5критическая

BDU:2019-04778

Уязвимость реализации механизма полиморфной типизации данных библиотеки jackson-databind, позволяющая нарушителю выполнить вредоносную нагрузку
Опубликовано: 2019-12-22
Описание

Уязвимость реализации механизма полиморфной типизации данных библиотеки jackson-databind связана с недостатками обработки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить вредоносную нагрузку путем обработки классов org.apache.commons.dbcp.datasources.SharedPoolDataSource и org.apache.commons.dbcp.datasources.PerUserPoolDataSource

Затрагиваемое ПО и версии
Debian GNU/Linux (9)JD Edwards EnterpriseOne Tools (9.2)Oracle Retail Customer Management and Segmentation Foundation (17.0)Red Hat Enterprise Linux (8)Fedora (30)Debian GNU/Linux (8)Jboss Fuse (7)Jboss BRMS (7.0)Debian GNU/Linux (10)Fedora (31)Retail Customer Management and Segmentation Foundation (18.0)Retail Xstore Point of Service (15.0)Retail Xstore Point of Service (16.0)Retail Xstore Point of Service (17.0)Retail Xstore Point of Service (18.0)OpenShift Application Runtimes (1.0)JBoss Enterprise Application Platform (7.2)Retail Xstore Point of Service (19.0.0)Jackson-databind (от 2.0.0 до 2.9.10 включительно)JBoss Enterprise Application Platform (7)JBoss Data Grid (7)OpenShift Application RuntimesRed Hat Single Sign-On (7)Red Hat Process Automation Manager (7)JBoss Enterprise Application Platform Continuous DeliveryDrill (1.16.0)JBoss Enterprise Application Platform (7.2 for RHEL 6)JBoss Enterprise Application Platform (7.2 for RHEL 7)JBoss Enterprise Application Platform (7.2 for RHEL 8)Red Hat Single Sign-On (7.3)
Способ устранения

Использование рекомендаций:
https://github.com/FasterXML/jackson-databind/issues/2478

Для продуктов Red Hat:
https://access.redhat.com/security/cve/CVE-2019-16942

Для Apache:
https://lists.apache.org/thread.html/a430dbc9be874c41314cc69e697384567a9a24025e819d9485547954@%3Cissues.geode.apache.org%3E
https://lists.apache.org/thread.html/519eb0fd45642dcecd9ff74cb3e71c20a4753f7d82e2f07864b5108f@%3Cdev.drill.apache.org%3E

Для Debian:
https://www.debian.org/security/2019/dsa-4542

Для продуктов Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/Q7CANA7KV53JROZDX5Z5P26UG5VN2K43/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TH5VFUN4P7CCIP7KSEXYA5MUTFCUDUJT/

Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujul2020.html

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
https://access.redhat.com/errata/RHSA-2019:3901https://github.com/FasterXML/jackson-databind/issues/2478https://issues.apache.org/jira/browse/GEODE-7255https://lists.apache.org/thread.html/519eb0fd45642dcecd9ff74cb3e71c20a4753f7d82e2f07864b5108f@%3Cdev.drill.apache.org%3Ehttps://lists.apache.org/thread.html/7782a937c9259a58337ee36b2961f00e2d744feafc13084e176d0df5@%3Cissues.geode.apache.org%3Ehttps://lists.apache.org/thread.html/b0656d359c7d40ec9f39c8cc61bca66802ef9a2a12ee199f5b0c1442@%3Cdev.drill.apache.org%3Ehttps://lists.apache.org/thread.html/b2e23c94f9dfef53e04c492e5d02e5c75201734be7adc73a49ef2370@%3Cissues.geode.apache.org%3Ehttps://lists.apache.org/thread.html/f9bc3e55f4e28d1dcd1a69aae6d53e609a758e34d2869b4d798e13cc@%3Cissues.drill.apache.org%3E
Проверьте безопасность своего сайта и почты → Полная проверка домена