Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2019-04782: Уязвимость реализации механизма полиморфной типизации данных библиотеки jackson-databind, позволяющая нарушителю выполнить вредоносную нагрузку

Описание уязвимости	Уязвимость реализации механизма полиморфной типизации данных библиотеки jackson-databind связана с недостатками обработки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить вредоносную нагрузку с помощью класса com.p6spy.engine.spy.P6DataSource
Вендор	Oracle Corp., Сообщество свободного программного обеспечения, Red Hat Inc., Fedora Project, FasterXML, LLC, Apache Software Foundation
Наименование ПО	JD Edwards EnterpriseOne Tools, WebCenter Portal, Debian GNU/Linux, Oracle Retail Customer Management and Segmentation Foundation, Red Hat Enterprise Linux, Red Hat JBoss Fuse, Fedora, Retail Customer Management and Segmentation Foundation, Retail Xstore Point of Service, JBoss Enterprise Application Platform, Jackson-databind, JBoss Data Grid, OpenShift Application Runtimes, Red Hat Process Automation Manager, Apache Drill, Red Hat Single Sign-On, OpenShift Container Platform, Red Hat Descision Manager, JD Edwards EnterpriseOne Orchestrator, JBoss A-MQ Streaming, Siebel UI Framework, Communications Billing and Revenue Management, Oracle Retail Merchandising System, Oracle Retail Sales Audit, Siebel Engineering - Installer & Deployment, Oracle Global Lifecycle Management OPatch
Версия ПО	9.2 (JD Edwards EnterpriseOne Tools) 12.2.1.3.0 (WebCenter Portal) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 17.0 (Oracle Retail Customer Management and Segmentation Foundation) 8 (Red Hat Enterprise Linux) 7 (Red Hat JBoss Fuse) 30 (Fedora) 10.0 (Debian GNU/Linux) 31 (Fedora) 18.0 (Retail Customer Management and Segmentation Foundation) 15.0 (Retail Xstore Point of Service) 16.0 (Retail Xstore Point of Service) 17.0 (Retail Xstore Point of Service) 18.0 (Retail Xstore Point of Service) 7.2 (JBoss Enterprise Application Platform) 19.0.0 (Retail Xstore Point of Service) от 2.0.0 до 2.9.10 включительно (Jackson-databind) 7 (JBoss Enterprise Application Platform) 7 (JBoss Data Grid) - (OpenShift Application Runtimes) 7 (Red Hat Process Automation Manager) 1.16.0 (Apache Drill) 7.2 for RHEL 6 (JBoss Enterprise Application Platform) 7.2 for RHEL 7 (JBoss Enterprise Application Platform) 7.2 for RHEL 8 (JBoss Enterprise Application Platform) 7.3 (Red Hat Single Sign-On) 4.3 (OpenShift Container Platform) 7 (Red Hat Descision Manager) 9.2 (JD Edwards EnterpriseOne Orchestrator) - (JBoss A-MQ Streaming) 12.2.1.4.0 (WebCenter Portal) до 20.5 включительно (Siebel UI Framework) 7.5.0.23.0 (Communications Billing and Revenue Management) 12.0.0.3.0 (Communications Billing and Revenue Management) 15.0.3 (Oracle Retail Merchandising System) 16.0.2 (Oracle Retail Merchandising System) 16.0.3 (Oracle Retail Merchandising System) 14.1 (Oracle Retail Sales Audit) до 2.20.5 включительно (Siebel Engineering - Installer & Deployment) до 12.2.0.1.20 включительно (Oracle Global Lifecycle Management OPatch)
Тип ПО	Прикладное ПО информационных систем, Сетевое программное средство, Операционная система
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Red Hat Inc. Red Hat Enterprise Linux 8 Fedora Project Fedora 30 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Fedora Project Fedora 31
Тип ошибки	Недостаточная проверка вводимых данных, Раскрытие информации, Восстановление в памяти недостоверных данных
Идентификатор типа ошибки	CWE-20 CWE-200 CWE-502
Класс уязвимости	Уязвимость кода
Дата выявления	27.09.2019
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для jackson-databind: https://github.com/FasterXML/jackson-databind/issues/2478 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2019-16943 Для Apache: https://lists.apache.org/thread.html/5ec8d8d485c2c8ac55ea425f4cd96596ef37312532712639712ebcdd@%3Ccommits.iceberg.apache.org%3E Для Debian: https://lists.debian.org/debian-lts-announce/2019/10/msg00001.html https://www.debian.org/security/2019/dsa-4542 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/Q7CANA7KV53JROZDX5Z5P26UG5VN2K43/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TH5VFUN4P7CCIP7KSEXYA5MUTFCUDUJT/ Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpujan2020.html https://www.oracle.com/security-alerts/cpujul2020.html
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/FasterXML/jackson-databind/issues/2478 https://lists.apache.org/thread.html/519eb0fd45642dcecd9ff74cb3e71c20a4753f7d82e2f07864b5108f@%3Cdev.drill.apache.org%3E https://lists.apache.org/thread.html/5ec8d8d485c2c8ac55ea425f4cd96596ef37312532712639712ebcdd@%3Ccommits.iceberg.apache.org%3E https://lists.apache.org/thread.html/6788e4c991f75b89d290ad06b463fcd30bcae99fee610345a35b7bc6@%3Cissues.iceberg.apache.org%3E https://lists.apache.org/thread.html/b0656d359c7d40ec9f39c8cc61bca66802ef9a2a12ee199f5b0c1442@%3Cdev.drill.apache.org%3E https://lists.apache.org/thread.html/f9bc3e55f4e28d1dcd1a69aae6d53e609a758e34d2869b4d798e13cc@%3Cissues.drill.apache.org%3E https://lists.debian.org/debian-lts-announce/2019/10/msg00001.html https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/Q7CANA7KV53JROZDX5Z5P26UG5VN2K43/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TH5VFUN4P7CCIP7KSEXYA5MUTFCUDUJT/ https://medium.com/@cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062 https://seclists.org/bugtraq/2019/Oct/6 https://security.netapp.com/advisory/ntap-20191017-0006/ https://www.debian.org/security/2019/dsa-4542 https://www.oracle.com/security-alerts/cpujul2020.html
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-16943
Прочая информация	Данные уточняются

Последние изменения