BDU:2020-00566

Canonical Ltd., Red Hat Inc., АО «Концерн ВНИИНС», FasterXML, LLC, Сообщество свободного программног Red Hat JBoss Fuse, JBoss Enterprise Application Platform, Debian GNU/Linux, РОСА ХРОМ, Drill, JBoss

НЕ ОЦЕНЕНО

Дата обнаружения

2019-08-06

Официальное описание

Уязвимость реализации механизма полиморфной типизации данных библиотеки FasterXML Jackson-databind связана с недостатками обработки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный контроль над приложением с помощью класса net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup

🛡️

Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Использование рекомендаций: Для Jackson-databind: https://github.com/FasterXML/jackson-databind/compare/jackson-databind-2.9.9.3...jackson-databind-2.9.10 https://github.com/FasterXML/jackson-databind/issues/2460

Для программных продуктов продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2019-17267

Для Apache Drill: https://lists.apache.org/thread.html/519eb0fd45642dcecd9ff74cb3e71c20a4753f7d82e2f07864b5108f@%3Cdev.drill.apache.org%3E https://lists.apache.org/thread.html/b0656d359c7d40ec9f39c8cc61bca66802ef9a2a12ee199f5b0c1442@%3Cdev.drill.apache.org%3E https://lists.apache.org/thread.html/f9bc3e55f4e28d1dcd1a69aae6d53e609a758e34d2869b4d798e13cc@%3Cissues.drill.apache.org%3E https://lists.apache.org/thread.html/r392099ed2757ff2e383b10440594e914d080511d7da1c8fed0612c1f@%3Ccommits.druid.apache.org%3E

Для Debian GNU/Linux: https://lists.debian.org/debian-lts-announce/2019/12/msg00013.html https://security-tracker.debian.org/tracker/CVE-2019-17267

Для программных продуктов Oracle Inc.: https://www.oracle.com/security-alerts/cpujan2020.html https://www.oracle.com/security-alerts/cpujul2020.html

Для Ubuntu: https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-17267.html

Для Astra Linux: Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии

Для ОС ОН «Стрелец»: Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей