Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-00566: Уязвимость реализации механизма полиморфной типизации данных библиотеки FasterXML Jackson-databind, позволяющая нарушителю получить полный контроль над приложением

Описание уязвимости	Уязвимость реализации механизма полиморфной типизации данных библиотеки FasterXML Jackson-databind связана с недостатками обработки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный контроль над приложением с помощью класса net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup
Вендор	Canonical Ltd., Oracle Corp., Сообщество свободного программного обеспечения, Red Hat Inc., FasterXML, LLC, Apache Software Foundation, ООО «РусБИТех-Астра»
Наименование ПО	Ubuntu , WebCenter Portal , Debian GNU/Linux , WebLogic Server , Red Hat JBoss Fuse , Retail Customer Management and Segmentation Foundation , JBoss Enterprise Application Platform , Jackson-databind , JBoss Data Grid , OpenShift Application Runtimes , Red Hat Process Automation Manager , Apache Drill , Red Hat AMQ Streams , Red Hat Single Sign-On , OpenShift Container Platform , Red Hat Descision Manager , Oracle GoldenGate Application Adapters , Astra Linux
Версия ПО	16.04 LTS (Ubuntu) 18.04 LTS (Ubuntu) 12.2.1.3.0 (WebCenter Portal) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 12.04 ESM (Ubuntu) 12.2.1.3.0 (WebLogic Server) 7 (Red Hat JBoss Fuse) 10.0 (Debian GNU/Linux) 14.04 ESM (Ubuntu) 8 (Debian GNU/Linux) 17.0 (Retail Customer Management and Segmentation Foundation) 18.0 (Retail Customer Management and Segmentation Foundation) 7.2 (JBoss Enterprise Application Platform) до 2.9.10 (Jackson-databind) 19.10 (Ubuntu) 7 (JBoss Enterprise Application Platform) 7 (JBoss Data Grid) - (OpenShift Application Runtimes) 7 (Red Hat Process Automation Manager) 1.16.0 (Apache Drill) 1 (Red Hat AMQ Streams) 7.2 for RHEL 6 (JBoss Enterprise Application Platform) 7.2 for RHEL 7 (JBoss Enterprise Application Platform) 7.2 for RHEL 8 (JBoss Enterprise Application Platform) 7.3 (Red Hat Single Sign-On) 4.3 (OpenShift Container Platform) 7 (Red Hat Descision Manager) 12.2.1.4.0 (WebCenter Portal) 19.1.0.0.0 (Oracle GoldenGate Application Adapters) 2.12 «Орел» (Astra Linux)
Тип ПО	Операционная система, Сетевое программное средство, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Canonical Ltd. Ubuntu 16.04 LTS Canonical Ltd. Ubuntu 18.04 LTS Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Canonical Ltd. Ubuntu 12.04 ESM Red Hat Inc. Red Hat JBoss Fuse 7 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Canonical Ltd. Ubuntu 14.04 ESM Сообщество свободного программного обеспечения Debian GNU/Linux 8 Oracle Corp. Retail Customer Management and Segmentation Foundation 17.0 Red Hat Inc. JBoss Enterprise Application Platform 7.2 FasterXML, LLC Jackson-databind до 2.9.10 Canonical Ltd. Ubuntu 19.10 Red Hat Inc. JBoss Enterprise Application Platform 7 Red Hat Inc. JBoss Data Grid 7 Red Hat Inc. OpenShift Application Runtimes - Red Hat Inc. Red Hat Process Automation Manager 7 Apache Software Foundation Apache Drill 1.16.0 Red Hat Inc. Red Hat AMQ Streams 1 Red Hat Inc. JBoss Enterprise Application Platform 7.2 for RHEL 6 Red Hat Inc. JBoss Enterprise Application Platform 7.2 for RHEL 7 Red Hat Inc. JBoss Enterprise Application Platform 7.2 for RHEL 8 Red Hat Inc. Red Hat Single Sign-On 7.3 Red Hat Inc. OpenShift Container Platform 4.3 Red Hat Inc. Red Hat Descision Manager 7 ООО «РусБИТех-Астра» Astra Linux 2.12 «Орел»
Тип ошибки	Недостаточная проверка вводимых данных, Раскрытие информации, Восстановление в памяти недостоверных данных
Идентификатор типа ошибки	CWE-20 CWE-200 CWE-502
Класс уязвимости	Уязвимость многофакторная
Дата выявления	06.08.2019
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Jackson-databind: https://github.com/FasterXML/jackson-databind/compare/jackson-databind-2.9.9.3...jackson-databind-2.9.10 https://github.com/FasterXML/jackson-databind/issues/2460 Для программных продуктов продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2019-17267 Для Apache Drill: https://lists.apache.org/thread.html/519eb0fd45642dcecd9ff74cb3e71c20a4753f7d82e2f07864b5108f@%3Cdev.drill.apache.org%3E https://lists.apache.org/thread.html/b0656d359c7d40ec9f39c8cc61bca66802ef9a2a12ee199f5b0c1442@%3Cdev.drill.apache.org%3E https://lists.apache.org/thread.html/f9bc3e55f4e28d1dcd1a69aae6d53e609a758e34d2869b4d798e13cc@%3Cissues.drill.apache.org%3E https://lists.apache.org/thread.html/r392099ed2757ff2e383b10440594e914d080511d7da1c8fed0612c1f@%3Ccommits.druid.apache.org%3E Для Debian GNU/Linux: https://lists.debian.org/debian-lts-announce/2019/12/msg00013.html https://security-tracker.debian.org/tracker/CVE-2019-17267 Для программных продуктов Oracle Inc.: https://www.oracle.com/security-alerts/cpujan2020.html https://www.oracle.com/security-alerts/cpujul2020.html Для Ubuntu: https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-17267.html Для Astra Linux: Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://access.redhat.com/errata/RHSA-2019:3200 https://access.redhat.com/errata/RHSA-2020:0159 https://access.redhat.com/errata/RHSA-2020:0160 https://access.redhat.com/errata/RHSA-2020:0161 https://access.redhat.com/errata/RHSA-2020:0164 https://access.redhat.com/errata/RHSA-2020:0445 https://github.com/FasterXML/jackson-databind/compare/jackson-databind-2.9.9.3...jackson-databind-2.9.10 https://github.com/FasterXML/jackson-databind/issues/2460 https://lists.apache.org/thread.html/519eb0fd45642dcecd9ff74cb3e71c20a4753f7d82e2f07864b5108f@%3Cdev.drill.apache.org%3E https://lists.apache.org/thread.html/b0656d359c7d40ec9f39c8cc61bca66802ef9a2a12ee199f5b0c1442@%3Cdev.drill.apache.org%3E https://lists.apache.org/thread.html/f9bc3e55f4e28d1dcd1a69aae6d53e609a758e34d2869b4d798e13cc@%3Cissues.drill.apache.org%3E https://lists.apache.org/thread.html/r392099ed2757ff2e383b10440594e914d080511d7da1c8fed0612c1f@%3Ccommits.druid.apache.org%3E https://lists.debian.org/debian-lts-announce/2019/12/msg00013.html https://security.netapp.com/advisory/ntap-20191017-0006/ https://www.oracle.com/security-alerts/cpujan2020.html https://www.oracle.com/security-alerts/cpujul2020.html https://www.oracle.com/security-alerts/cpuoct2020.html
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-17267
Прочая информация	Данные уточняются

Последние изменения