ГлавнаяБаза уязвимостей БДУ → BDU:2019-04782
10критическая

BDU:2019-04782

Уязвимость реализации механизма полиморфной типизации данных библиотеки jackson-databind, позволяющая нарушителю выполнить вредоносную нагрузку
Опубликовано: 2019-12-22
Описание

Уязвимость реализации механизма полиморфной типизации данных библиотеки jackson-databind связана с недостатками обработки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить вредоносную нагрузку с помощью класса com.p6spy.engine.spy.P6DataSource

Затрагиваемое ПО и версии
Debian GNU/Linux (9)JD Edwards EnterpriseOne Tools (9.2)WebCenter Portal (12.2.1.3.0)Oracle Retail Customer Management and Segmentation Foundation (17.0)Red Hat Enterprise Linux (8)Red Hat JBoss Fuse (7)Fedora (30)Debian GNU/Linux (8)Debian GNU/Linux (10)Fedora (31)Retail Customer Management and Segmentation Foundation (18.0)Retail Xstore Point of Service (15.0)Retail Xstore Point of Service (16.0)Retail Xstore Point of Service (17.0)Retail Xstore Point of Service (18.0)JBoss Enterprise Application Platform (7.2)Retail Xstore Point of Service (19.0.0)Jackson-databind (от 2.0.0 до 2.9.10 включительно)JBoss Enterprise Application Platform (7)JBoss Data Grid (7)OpenShift Application RuntimesRed Hat Process Automation Manager (7)Drill (1.16.0)JBoss Enterprise Application Platform (7.2 for RHEL 6)JBoss Enterprise Application Platform (7.2 for RHEL 7)JBoss Enterprise Application Platform (7.2 for RHEL 8)Red Hat Single Sign-On (7.3)OpenShift Container Platform (4.3)Red Hat Descision Manager (7)JD Edwards EnterpriseOne Orchestrator (9.2)
Способ устранения

Использование рекомендаций:
Для jackson-databind:
https://github.com/FasterXML/jackson-databind/issues/2478

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-16943

Для Apache:
https://lists.apache.org/thread.html/5ec8d8d485c2c8ac55ea425f4cd96596ef37312532712639712ebcdd@%3Ccommits.iceberg.apache.org%3E

Для Debian:
https://lists.debian.org/debian-lts-announce/2019/10/msg00001.html
https://www.debian.org/security/2019/dsa-4542

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/Q7CANA7KV53JROZDX5Z5P26UG5VN2K43/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TH5VFUN4P7CCIP7KSEXYA5MUTFCUDUJT/

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujul2020.html

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/FasterXML/jackson-databind/issues/2478https://lists.apache.org/thread.html/519eb0fd45642dcecd9ff74cb3e71c20a4753f7d82e2f07864b5108f@%3Cdev.drill.apache.org%3Ehttps://lists.apache.org/thread.html/5ec8d8d485c2c8ac55ea425f4cd96596ef37312532712639712ebcdd@%3Ccommits.iceberg.apache.org%3Ehttps://lists.apache.org/thread.html/6788e4c991f75b89d290ad06b463fcd30bcae99fee610345a35b7bc6@%3Cissues.iceberg.apache.org%3Ehttps://lists.apache.org/thread.html/b0656d359c7d40ec9f39c8cc61bca66802ef9a2a12ee199f5b0c1442@%3Cdev.drill.apache.org%3Ehttps://lists.apache.org/thread.html/f9bc3e55f4e28d1dcd1a69aae6d53e609a758e34d2869b4d798e13cc@%3Cissues.drill.apache.org%3Ehttps://lists.debian.org/debian-lts-announce/2019/10/msg00001.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/Q7CANA7KV53JROZDX5Z5P26UG5VN2K43/
Проверьте безопасность своего сайта и почты → Полная проверка домена