BDU:2019-02899

Fedora Project, Novell Inc., ООО «Ред Софт», Red Hat Inc., FasterXML, LLC, Сообщество свободного про Red Hat Enterprise Linux, Insurance Allocation Manager for Enterprise Profitability, Communications

НЕ ОЦЕНЕНО

Дата обнаружения

2019-05-29

Официальное описание

Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind связана с возможностью чтения произвольных локальных файлов на сервере в случае, когда активирована типизация по умолчанию, и специальный jar-коннектор mysql-connector-java, находится в пути к классам для конечной точки JSON. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным с помощью отправки специально созданного JSON-сообщения

🛡️

Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Использование рекомендаций: Для jackson-databind: https://github.com/FasterXML/jackson/wiki/Jackson-Release-2.9.9 https://github.com/FasterXML/jackson-databind/issues/2326

Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpujan2020.html https://www.oracle.com/security-alerts/cpujul2020.html https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UKUALE2TUCKEKOHE2D342PQXN4MWCSLC/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TXRVXNRFHJSQWFHPRJQRI5UPMZ63B544/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OVRZDN2T6AZ6DJCZJ3VSIQIVHBVMVWBL/

Для Debian: https://www.debian.org/security/2019/dsa-4452 https://lists.debian.org/debian-lts-announce/2019/05/msg00030.html

Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2019-12086

Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2018-12086/

Для Astra Linux: Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u5 или более поздней версии

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей