СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
10.09.2019
#Dev#ИБ

Уязвимость BDU:2019-04081

Уязвимость BDU:2019-04081

Идентификатор: BDU:2019-04081.

Наименование уязвимости: Уязвимость функции FasterXML (com.zaxxer.hikari.HikariDataSource) Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю получить полный контроль над системой.

Описание уязвимости: Уязвимость функции FasterXML (com.zaxxer.hikari.HikariDataSource) Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный контроль над системой
Уязвимое ПО: Операционная система Debian GNU/Linux 9 | Прикладное ПО информационных систем Oracle Corp. Primavera Unifier 16.2 | Прикладное ПО информационных систем Oracle Corp. Primavera Unifier 16.1 | Операционная система Debian GNU/Linux 8.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Customer Management and Segmentation Foundation 17.0 | Прикладное ПО информационных систем Oracle Corp. Oracle Retail Customer Management and Segmentation Foundation 18.0 | Операционная система ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Прикладное ПО информационных систем Red Hat Inc. OpenShift Container Platform 4.1 | Операционная система Fedora Project Fedora 30 | Прикладное ПО информационных систем Red Hat Inc. OpenShift Container Platform 3.11 | Прикладное ПО информационных систем Red Hat Inc. Jboss Fuse 7 | Операционная система Debian GNU/Linux 10 | Операционная система Fedora Project Fedora 31 | Прикладное ПО информационных систем Oracle Corp. Primavera Unifier от 17.7 до 17.12 | Прикладное ПО информационных систем Oracle Corp. Primavera Unifier 18.8 | Прикладное ПО информационных систем Oracle Corp. Primavera Gateway 15.2 | Прикладное ПО информационных систем Oracle Corp. Primavera Gateway 16.2 | Прикладное ПО информационных систем Oracle Corp. Primavera Gateway 17.12 | Прикладное ПО информационных систем Oracle Corp. Primavera Gateway 18.8 | Прикладное ПО информационных систем Red Hat Inc. JBoss Enterprise Application Platform 7.2 | Прикладное ПО информационных систем FasterXML, LLC Jackson-databind до 2.9.10 | Прикладное ПО информационных систем Red Hat Inc. Red Hat Software Collections — | Прикладное ПО информационных систем Red Hat Inc. OpenShift Container Platform 4.2 | Прикладное ПО информационных систем Red Hat Inc. JBoss Enterprise Application Platform 7 | Прикладное ПО информационных систем Red Hat Inc. JBoss Data Grid 7 | Прикладное ПО информационных систем Red Hat Inc. Red Hat Process Automation Manager 7 | Прикладное ПО информационных систем Apache Software Foundation Apache Drill 1.16.0 | Прикладное ПО информационных систем Red Hat Inc. Red Hat AMQ Streams 1 | Прикладное ПО информационных систем Red Hat Inc. JBoss Enterprise Application Platform 7.2 for RHEL 6 | Прикладное ПО информационных систем Red Hat Inc. JBoss Enterprise Application Platform 7.2 for RHEL 7 | Прикладное ПО информационных систем Red Hat Inc. JBoss Enterprise Application Platform 7.2 for RHEL 8 | Сетевое программное средство Red Hat Inc. Red Hat Single Sign-On 7.3 | Прикладное ПО информационных систем Red Hat Inc. OpenShift Container Platform 4.3 | Прикладное ПО информационных систем Red Hat Inc. Red Hat Descision Manager 7 | Прикладное ПО информационных систем Oracle Corp. Primavera Gateway 15.2.18 | Прикладное ПО информационных систем Oracle Corp. Primavera Gateway 16.2.11 | Прикладное ПО информационных систем Oracle Corp. Primavera Gateway 17.12.6 | Прикладное ПО информационных систем Oracle Corp. Primavera Gateway 18.8.8.1 | Прикладное ПО информационных систем Oracle Corp. Primavera Unifier 19.12 | Операционная система АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4 | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 |

Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 9 | Debian GNU/Linux 80 | Astra Linux Common Edition 212 «Орёл» | Red Hat Enterprise Linux 8 | Fedora 30 | Debian GNU/Linux 10 | Fedora 31 | РОСА ХРОМ 124 | ОС ОН «Стрелец» до 16012023 |
Дата выявления: 10.09.2019.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Использование рекомендаций:
Для jackson-databind:
https://github.com/FasterXML/jackson-databind/issues/2449

Для программных продуктов Red Hat:
https://access.redhat.com/security/cve/CVE-2019-16335

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/Q7CANA7KV53JROZDX5Z5P26UG5VN2K43/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TH5VFUN4P7CCIP7KSEXYA5MUTFCUDUJT/

Для программных продуктов Oracle:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujul2020.html

Для Apache:
https://lists.apache.org/thread.html/dc6b5cad721a4f6b3b62ed1163894941140d9d5656140fb757505ca0@%3Cissues.hbase.apache.org%3E

Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u6 или более поздней версии

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2019-16335.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html
https://nvd.nist.gov/vuln/detail/CVE-2019-16335
https://github.com/FasterXML/jackson-databind/issues/2449
https://access.redhat.com/security/cve/CVE-2019-16335
https://lists.debian.org/debian-lts-announce/2019/10/msg00001.html
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/Q7CANA7KV53JROZDX5Z5P26UG5VN2K43/
https://security-tracker.debian.org/tracker/CVE-2019-16335
https://www.oracle.com/security-alerts/cpujul2020.html
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: