Уязвимость BDU:2019-02896

Дата: 02.01.2019. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2019-02896.

Наименование уязвимости: Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю оказать воздействие на целостность данных, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с неспособностью заблокировать класс axis2-transport-jms от полиморфной десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании
Уязвимое ПО: Операционная система Red Hat Inc. Red Hat Enterprise Linux 7 | Прикладное ПО информационных систем Oracle Corp. Business Process Management Suite 12.1.3.0.0 | Прикладное ПО информационных систем Oracle Corp. Business Process Management Suite 12.2.1.3.0 | Прикладное ПО информационных систем Oracle Corp. JD Edwards EnterpriseOne Tools 9.2 | Прикладное ПО информационных систем Oracle Corp. Primavera Unifier 16.2 | Прикладное ПО информационных систем Oracle Corp. Primavera Unifier 16.1 | Прикладное ПО информационных систем Oracle Corp. Primavera P6 Enterprise Project Portfolio Management 15.1 | Прикладное ПО информационных систем Oracle Corp. Primavera P6 Enterprise Project Portfolio Management 15.2 | Прикладное ПО информационных систем Oracle Corp. Primavera P6 Enterprise Project Portfolio Management 16.1 | Прикладное ПО информационных систем Oracle Corp. Primavera P6 Enterprise Project Portfolio Management 16.2 | Прикладное ПО информационных систем Oracle Corp. Primavera P6 Enterprise Project Portfolio Management 18.8 | Сетевое программное средство Oracle Corp. WebCenter Portal 12.2.1.3.0 | Прикладное ПО информационных систем Oracle Corp. Primavera P6 Enterprise Project Portfolio Management от 17.7 до 17.12 | Операционная система Debian GNU/Linux 8.0 | Операционная система Debian GNU/Linux 9.0 | Прикладное ПО информационных систем Oracle Corp. Retail Xstore Point of Service 7.0 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 7.4 EUS | Операционная система Red Hat Inc. Red Hat Enterprise Linux 7.5 EUS | Операционная система Red Hat Inc. Red Hat Enterprise Linux 7.6 EUS | Прикладное ПО информационных систем FasterXML, LLC Jackson-databind от 2.0.0 до 2.9.8 | Прикладное ПО информационных систем Red Hat Inc. OpenShift Container Platform 3.11 | Прикладное ПО информационных систем Oracle Corp. Communications Billing and Revenue Management 7.5 | Прикладное ПО информационных систем Oracle Corp. Communications Billing and Revenue Management 12.0 | Прикладное ПО информационных систем Oracle Corp. Retail Workforce Management Software 1.60.9.0.0 | Прикладное ПО информационных систем Red Hat Inc. Jboss BRMS 6.4 | Прикладное ПО информационных систем Oracle Corp. Primavera Unifier от 17.7 до 17.12 | Прикладное ПО информационных систем Oracle Corp. Primavera Unifier 18.8 | Прикладное ПО информационных систем Oracle Corp. Communications Unified 8.0.0.2.0 | Прикладное ПО информационных систем Oracle Corp. Primavera Gateway 15.2 | Прикладное ПО информационных систем Oracle Corp. Primavera Gateway 16.2 | Прикладное ПО информационных систем Oracle Corp. Primavera Gateway 17.12 | Прикладное ПО информационных систем Oracle Corp. Primavera Gateway 18.8 | Прикладное ПО информационных систем Oracle Corp. Enterprise Manager for Virtualization 13.1 | Прикладное ПО информационных систем Oracle Corp. Enterprise Manager for Virtualization 13.2 | Прикладное ПО информационных систем Oracle Corp. Enterprise Manager for Virtualization 13.3 | Прикладное ПО информационных систем Oracle Corp. Retail Customer Management and Segmentation Foundation 16.0 | Прикладное ПО информационных систем Oracle Corp. Retail Customer Management and Segmentation Foundation 17.0 | Прикладное ПО информационных систем Oracle Corp. Retail Customer Management and Segmentation Foundation 18.0 | Прикладное ПО информационных систем Oracle Corp. Retail Xstore Point of Service 7.1 | Прикладное ПО информационных систем Oracle Corp. Retail Xstore Point of Service 15.0 | Прикладное ПО информационных систем Oracle Corp. Retail Xstore Point of Service 16.0 | Прикладное ПО информационных систем Oracle Corp. Retail Xstore Point of Service 17.0 | Прикладное ПО информационных систем Oracle Corp. Retail Xstore Point of Service 18.0 | Прикладное ПО информационных систем Oracle Corp. Insurance Performance Insight 8.0.7 | Прикладное ПО информационных систем Oracle Corp. Insurance Allocation Manager for Enterprise Profitability 8.0.8 | Прикладное ПО информационных систем Oracle Corp. Financial Services Retail Customer Analytics от 8.0.4 до 8.0.6 включительно | Прикладное ПО информационных систем Oracle Corp. Financial Services Profitability Management от 8.0.4 до 8.0.7 включительно | Прикладное ПО информационных систем Oracle Corp. Financial Services Price Creation and Discovery от 8.0.4 до 8.0.7 включительно | Прикладное ПО информационных систем Oracle Corp. Financial Services Institutional Performance Analytics от 8.0.4 до 8.0.7 включительно | Прикладное ПО информационных систем Oracle Corp. Financial Services Funds Transfer Pricing от 8.0.6 до 8.0.7 включительно | Прикладное ПО информационных систем, Сетевое программное средство Oracle Corp. Financial Services Analytical Applications Infrastructure от 8.0.2 до 8.0.8 включительно | Прикладное ПО информационных систем Oracle Corp. Banking Platform от 2.4.0 до 2.7.1 включительно | Прикладное ПО информационных систем Red Hat Inc. Jboss Fuse 6.3 | Прикладное ПО информационных систем Red Hat Inc. Jboss BRMS 7.4 | Прикладное ПО информационных систем Red Hat Inc. JBoss A-MQ 6.3 | Прикладное ПО информационных систем Red Hat Inc. OpenShift Application Runtimes 1.0 | Прикладное ПО информационных систем Red Hat Inc. Automation Manager 7.3.1 |

Наименование ОС и тип аппаратной платформы: Linux |
Дата выявления: 02.01.2019.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Использование рекомендаций:
Для jackson-databind:
https://github.com/FasterXML/jackson-databind/commit/42912cac4753f3f718ece875e4d486f8264c2f2b
https://github.com/FasterXML/jackson-databind/issues/2186
https://github.com/FasterXML/jackson/wiki/Jackson-Release-2.9.8

Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html

Для Debian GNU/Linux:
https://www.debian.org/security/2019/dsa-4452

Для программных продуктов Red Hat Inc.:
https://bugzilla.redhat.com/show_bug.cgi?id=1666482
https://access.redhat.com/security/cve/cve-2018-19360
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2018-19360.
Прочая информация:
Тип ошибки CWE: CWE-502
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/FasterXML/jackson-databind/commit/42912cac4753f3f718ece875e4d486f8264c2f2b
https://github.com/FasterXML/jackson-databind/issues/2186
https://github.com/FasterXML/jackson/wiki/Jackson-Release-2.9.8
https://nvd.nist.gov/vuln/detail/CVE-2018-19360
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
https://www.debian.org/security/2019/dsa-4452
https://bugzilla.redhat.com/show_bug.cgi?id=1666482
https://access.redhat.com/security/cve/cve-2018-19360
https://www.cvedetails.com/cve/CVE-2018-19360/?q=CVE-2018-19360

ФСТЭК России

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *