BDU:2019-01757: Уязвимость библиотеки jackson-databind, связанная с восстановленим в памяти недостоверной структуры данных, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость библиотеки jackson-databind вызвана отсутствием защиты классов blaze-ds-opt и blaze-ds-core от полиморфной десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Вендор FasterXML, LLC, Oracle Corp.
Наименование ПО Jackson-databind, Oracle Retail Merchandising System, Oracle JDeveloper
Версия ПО
  • от 2.0 до 2.9.7 (Jackson-databind)
  • 15.0 (Oracle Retail Merchandising System)
  • 16.0 (Oracle Retail Merchandising System)
  • 12.1.3.0.0 (Oracle JDeveloper)
  • 12.2.1.3.0 (Oracle JDeveloper)
Тип ПО Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Данные уточняются
Тип ошибки Восстановление в памяти недостоверных данных
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 17.08.2018
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Для библиотеки FasterXML jackson-databind использование рекомендаций:
https://github.com/FasterXML/jackson/wiki/Jackson-Release-2.9.7

Для продуктов Oracle использование рекомендаций:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация -
Последние изменения