ГлавнаяБаза уязвимостей БДУ → BDU:2020-00688
10критическая

BDU:2020-00688 (CVE-2019-17531)

Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю получить полный контроль над системой
Опубликовано: 2020-02-24
Описание

Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с недостатком механизма проверки вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный контроль над системой

Затрагиваемое ПО и версии
JD Edwards EnterpriseOne Tools (9.2)WebCenter Portal (12.2.1.3.0)Oracle Retail Customer Management and Segmentation Foundation (17.0)Oracle Retail Customer Management and Segmentation Foundation (18.0)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)Debian GNU/Linux (8)Retail Xstore Point of Service (15.0)Retail Xstore Point of Service (16.0)Retail Xstore Point of Service (17.0)Retail Xstore Point of Service (18.0)Retail Xstore Point of Service (19.0.0)WebCenter Portal (12.2.1.4.0)Communications Billing and Revenue Management (7.5.0.23.0)Communications Billing and Revenue Management (12.0.0.3.0)Oracle Retail Sales Audit (14.1)Siebel Engineering - Installer & Deployment (до 2.20.5 включительно)Oracle GoldenGate Application Adapters (19.1.0.0.0)РОСА ХРОМ (12.4)ОС ОН «Стрелец» (до 16.01.2023)Jackson-databind (от 2.0.0 до 2.6.7.3)Jackson-databind (от 2.7.0 до 2.8.11.5)Jackson-databind (от 2.9.0 до 2.9.10.1)
Способ устранения

Использование рекомендаций:
Для программных продуктов Oracle Inc.:
https://www.oracle.com/security-alerts/public-vuln-to-advisory-mapping.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html

Для FasterXML:
https://github.com/FasterXML/jackson-databind/issues/2498
https://github.com/FasterXML/jackson-databind/commit/b5a304a98590b6bb766134f9261e6566dcbbb6d0

Для программных продуктов Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/12/msg00013.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-17531

Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.oracle.com/security-alerts/public-vuln-to-advisory-mapping.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2019-17531https://lists.debian.org/debian-lts-announce/2019/12/msg00013.htmlhttps://access.redhat.com/security/cve/CVE-2019-17531https://github.com/FasterXML/jackson-databind/issues/2498https://medium.com/@cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062https://www.oracle.com/security-alerts/cpujul2020.htmlhttps://www.oracle.com/security-alerts/cpuoct2020.html
Проверьте безопасность своего сайта и почты → Полная проверка домена