BDU:2019-02925
Novell Inc., Red Hat Inc., АО «Концерн ВНИИНС», FasterXML, LLC, Сообщество свободного программного о Retail Customer Management and Segmentation Foundation, Red Hat Enterprise Linux, Astra Linux Common
2019-05-16
Уязвимость класса logback-core библиотеки Jackson-databind связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для Jackson-databind: https://github.com/FasterXML/jackson-databind/compare/74b90a4...a977aad
Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OVRZDN2T6AZ6DJCZJ3VSIQIVHBVMVWBL/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TXRVXNRFHJSQWFHPRJQRI5UPMZ63B544/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UKUALE2TUCKEKOHE2D342PQXN4MWCSLC/
Для Debian: https://www.debian.org/security/2019/dsa-4542 https://lists.debian.org/debian-lts-announce/2019/06/msg00019.html
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2019-12384
Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2018-12384/
Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpujul2020.html https://www.oracle.com/security-alerts/cpujan2020.html https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
Для Astra Linux: Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u6 или более поздней версии
Для ОС ОН «Стрелец»: Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10