BDU:2019-04782: Уязвимость реализации механизма полиморфной типизации данных библиотеки jackson-databind, позволяющая нарушителю выполнить вредоносную нагрузку

Описание уязвимости Уязвимость реализации механизма полиморфной типизации данных библиотеки jackson-databind связана с недостатками обработки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить вредоносную нагрузку с помощью класса com.p6spy.engine.spy.P6DataSource
Вендор Oracle Corp., Сообщество свободного программного обеспечения, Red Hat Inc., Fedora Project, FasterXML, LLC, Apache Software Foundation
Наименование ПО JD Edwards EnterpriseOne Tools, WebCenter Portal, Debian GNU/Linux, Oracle Retail Customer Management and Segmentation Foundation, Red Hat Enterprise Linux, Red Hat JBoss Fuse, Fedora, Retail Customer Management and Segmentation Foundation, Retail Xstore Point of Service, JBoss Enterprise Application Platform, Jackson-databind, JBoss Data Grid, OpenShift Application Runtimes, Red Hat Process Automation Manager, Apache Drill, Red Hat Single Sign-On, OpenShift Container Platform, Red Hat Descision Manager, JD Edwards EnterpriseOne Orchestrator, JBoss A-MQ Streaming, Siebel UI Framework, Communications Billing and Revenue Management, Oracle Retail Merchandising System, Oracle Retail Sales Audit, Siebel Engineering - Installer & Deployment, Oracle Global Lifecycle Management OPatch
Версия ПО
  • 9.2 (JD Edwards EnterpriseOne Tools)
  • 12.2.1.3.0 (WebCenter Portal)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 17.0 (Oracle Retail Customer Management and Segmentation Foundation)
  • 8 (Red Hat Enterprise Linux)
  • 7 (Red Hat JBoss Fuse)
  • 30 (Fedora)
  • 10.0 (Debian GNU/Linux)
  • 31 (Fedora)
  • 18.0 (Retail Customer Management and Segmentation Foundation)
  • 15.0 (Retail Xstore Point of Service)
  • 16.0 (Retail Xstore Point of Service)
  • 17.0 (Retail Xstore Point of Service)
  • 18.0 (Retail Xstore Point of Service)
  • 7.2 (JBoss Enterprise Application Platform)
  • 19.0.0 (Retail Xstore Point of Service)
  • от 2.0.0 до 2.9.10 включительно (Jackson-databind)
  • 7 (JBoss Enterprise Application Platform)
  • 7 (JBoss Data Grid)
  • - (OpenShift Application Runtimes)
  • 7 (Red Hat Process Automation Manager)
  • 1.16.0 (Apache Drill)
  • 7.2 for RHEL 6 (JBoss Enterprise Application Platform)
  • 7.2 for RHEL 7 (JBoss Enterprise Application Platform)
  • 7.2 for RHEL 8 (JBoss Enterprise Application Platform)
  • 7.3 (Red Hat Single Sign-On)
  • 4.3 (OpenShift Container Platform)
  • 7 (Red Hat Descision Manager)
  • 9.2 (JD Edwards EnterpriseOne Orchestrator)
  • - (JBoss A-MQ Streaming)
  • 12.2.1.4.0 (WebCenter Portal)
  • до 20.5 включительно (Siebel UI Framework)
  • 7.5.0.23.0 (Communications Billing and Revenue Management)
  • 12.0.0.3.0 (Communications Billing and Revenue Management)
  • 15.0.3 (Oracle Retail Merchandising System)
  • 16.0.2 (Oracle Retail Merchandising System)
  • 16.0.3 (Oracle Retail Merchandising System)
  • 14.1 (Oracle Retail Sales Audit)
  • до 2.20.5 включительно (Siebel Engineering - Installer & Deployment)
  • до 12.2.0.1.20 включительно (Oracle Global Lifecycle Management OPatch)
Тип ПО Прикладное ПО информационных систем, Сетевое программное средство, Операционная система
Операционные системы и аппаратные платформы
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Red Hat Inc. Red Hat Enterprise Linux 8
  • Fedora Project Fedora 30
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
  • Fedora Project Fedora 31
Тип ошибки Недостаточная проверка вводимых данных, Раскрытие информации, Восстановление в памяти недостоверных данных
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 27.09.2019
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
  • CVE: CVE-2019-16943
Прочая информация Данные уточняются
Последние изменения