ГлавнаяБаза уязвимостей БДУ → BDU:2020-00566
10критическая

BDU:2020-00566

Уязвимость реализации механизма полиморфной типизации данных библиотеки FasterXML Jackson-databind, позволяющая нарушителю получить полный контроль над приложением
Опубликовано: 2020-02-11
Описание

Уязвимость реализации механизма полиморфной типизации данных библиотеки FasterXML Jackson-databind связана с недостатками обработки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный контроль над приложением с помощью класса net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)WebCenter Portal (12.2.1.3.0)Ubuntu (12.04 ESM)WebLogic Server (12.2.1.3.0)Astra Linux Common Edition (2.12 «Орёл»)Red Hat JBoss Fuse (7)Ubuntu (14.04 ESM)Debian GNU/Linux (8)Debian GNU/Linux (10)Retail Customer Management and Segmentation Foundation (17.0)Retail Customer Management and Segmentation Foundation (18.0)JBoss Enterprise Application Platform (7.2)Jackson-databind (до 2.9.10)Ubuntu (19.10)JBoss Enterprise Application Platform (7)JBoss Data Grid (7)OpenShift Application RuntimesRed Hat Process Automation Manager (7)Drill (1.16.0)Red Hat AMQ Streams (1)JBoss Enterprise Application Platform (7.2 for RHEL 6)JBoss Enterprise Application Platform (7.2 for RHEL 7)JBoss Enterprise Application Platform (7.2 for RHEL 8)Red Hat Single Sign-On (7.3)OpenShift Container Platform (4.3)Red Hat Descision Manager (7)WebCenter Portal (12.2.1.4.0)Oracle GoldenGate Application Adapters (19.1.0.0.0)
Способ устранения

Использование рекомендаций:
Для Jackson-databind:
https://github.com/FasterXML/jackson-databind/compare/jackson-databind-2.9.9.3...jackson-databind-2.9.10
https://github.com/FasterXML/jackson-databind/issues/2460

Для программных продуктов продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-17267

Для Apache Drill:
https://lists.apache.org/thread.html/519eb0fd45642dcecd9ff74cb3e71c20a4753f7d82e2f07864b5108f@%3Cdev.drill.apache.org%3E
https://lists.apache.org/thread.html/b0656d359c7d40ec9f39c8cc61bca66802ef9a2a12ee199f5b0c1442@%3Cdev.drill.apache.org%3E
https://lists.apache.org/thread.html/f9bc3e55f4e28d1dcd1a69aae6d53e609a758e34d2869b4d798e13cc@%3Cissues.drill.apache.org%3E
https://lists.apache.org/thread.html/r392099ed2757ff2e383b10440594e914d080511d7da1c8fed0612c1f@%3Ccommits.druid.apache.org%3E

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/12/msg00013.html
https://security-tracker.debian.org/tracker/CVE-2019-17267

Для программных продуктов Oracle Inc.:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujul2020.html

Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-17267.html

Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://access.redhat.com/errata/RHSA-2019:3200https://access.redhat.com/errata/RHSA-2020:0159https://access.redhat.com/errata/RHSA-2020:0160https://access.redhat.com/errata/RHSA-2020:0161https://access.redhat.com/errata/RHSA-2020:0164https://access.redhat.com/errata/RHSA-2020:0445https://github.com/FasterXML/jackson-databind/compare/jackson-databind-2.9.9.3...jackson-databind-2.9.10https://github.com/FasterXML/jackson-databind/issues/2460
Проверьте безопасность своего сайта и почты → Полная проверка домена