BDU:2018-00945

Oracle Corp., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», FasterXML, LLC Astra Linux Common Edition, Communications Instant Messaging Server, Debian GNU/Linux, Retail Workfo

НЕ ОЦЕНЕНО

Дата обнаружения

2018-02-26

Официальное описание

Уязвимость компонента ObjectMapper библиотеки FasterXML jackson-databind связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти ограничения «черного списка» и выполнить произвольный код с использованием специально сформированных данных в формате JSON

🛡️

Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Использование рекомендаций: Для jackson-databind: обновление программного обеспечения до более поздней версии

Для программных продуктов Oracle Corp.: https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html https://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html

Для Debian GNU/Linux: https://www.debian.org/security/2018/dsa-4190

Для Astra Linux: Обновление программного обеспечения (пакета jackson-databind) до 2.9.8-3+deb10u1 или более поздней версии

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей