BDU:2020-00566: Уязвимость реализации механизма полиморфной типизации данных библиотеки FasterXML Jackson-databind, позволяющая нарушителю получить полный контроль над приложением

Описание уязвимости Уязвимость реализации механизма полиморфной типизации данных библиотеки FasterXML Jackson-databind связана с недостатками обработки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный контроль над приложением с помощью класса net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup
Вендор Canonical Ltd., Oracle Corp., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Red Hat Inc., FasterXML, LLC, Apache Software Foundation
Наименование ПО Ubuntu, WebCenter Portal, Debian GNU/Linux, WebLogic Server, Astra Linux Common Edition (запись в едином реестре российских программ №4433), Red Hat JBoss Fuse, Retail Customer Management and Segmentation Foundation, JBoss Enterprise Application Platform, Jackson-databind, JBoss Data Grid, OpenShift Application Runtimes, Red Hat Process Automation Manager, Apache Drill, Red Hat AMQ Streams, Red Hat Single Sign-On, OpenShift Container Platform, Red Hat Descision Manager, Oracle GoldenGate Application Adapters
Версия ПО
  • 16.04 LTS (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 12.2.1.3.0 (WebCenter Portal)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 12.04 ESM (Ubuntu)
  • 12.2.1.3.0 (WebLogic Server)
  • 2.12 «Орёл» (Astra Linux Common Edition)
  • 7 (Red Hat JBoss Fuse)
  • 10.0 (Debian GNU/Linux)
  • 14.04 ESM (Ubuntu)
  • 8 (Debian GNU/Linux)
  • 17.0 (Retail Customer Management and Segmentation Foundation)
  • 18.0 (Retail Customer Management and Segmentation Foundation)
  • 7.2 (JBoss Enterprise Application Platform)
  • до 2.9.10 (Jackson-databind)
  • 19.10 (Ubuntu)
  • 7 (JBoss Enterprise Application Platform)
  • 7 (JBoss Data Grid)
  • - (OpenShift Application Runtimes)
  • 7 (Red Hat Process Automation Manager)
  • 1.16.0 (Apache Drill)
  • 1 (Red Hat AMQ Streams)
  • 7.2 for RHEL 6 (JBoss Enterprise Application Platform)
  • 7.2 for RHEL 7 (JBoss Enterprise Application Platform)
  • 7.2 for RHEL 8 (JBoss Enterprise Application Platform)
  • 7.3 (Red Hat Single Sign-On)
  • 4.3 (OpenShift Container Platform)
  • 7 (Red Hat Descision Manager)
  • 12.2.1.4.0 (WebCenter Portal)
  • 19.1.0.0.0 (Oracle GoldenGate Application Adapters)
Тип ПО Операционная система, Сетевое программное средство, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Canonical Ltd. Ubuntu 16.04 LTS
  • Canonical Ltd. Ubuntu 18.04 LTS
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Canonical Ltd. Ubuntu 12.04 ESM
  • ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433)
  • Red Hat Inc. Red Hat JBoss Fuse 7
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
  • Canonical Ltd. Ubuntu 14.04 ESM
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8
  • Oracle Corp. Retail Customer Management and Segmentation Foundation 17.0
  • Red Hat Inc. JBoss Enterprise Application Platform 7.2
  • FasterXML, LLC Jackson-databind до 2.9.10
  • Canonical Ltd. Ubuntu 19.10
  • Red Hat Inc. JBoss Enterprise Application Platform 7
  • Red Hat Inc. JBoss Data Grid 7
  • Red Hat Inc. OpenShift Application Runtimes -
  • Red Hat Inc. Red Hat Process Automation Manager 7
  • Apache Software Foundation Apache Drill 1.16.0
  • Red Hat Inc. Red Hat AMQ Streams 1
  • Red Hat Inc. JBoss Enterprise Application Platform 7.2 for RHEL 6
  • Red Hat Inc. JBoss Enterprise Application Platform 7.2 for RHEL 7
  • Red Hat Inc. JBoss Enterprise Application Platform 7.2 for RHEL 8
  • Red Hat Inc. Red Hat Single Sign-On 7.3
  • Red Hat Inc. OpenShift Container Platform 4.3
  • Red Hat Inc. Red Hat Descision Manager 7
Тип ошибки Недостаточная проверка вводимых данных, Раскрытие информации, Восстановление в памяти недостоверных данных
Идентификатор типа ошибки
Класс уязвимости Уязвимость многофакторная
Дата выявления 06.08.2019
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения