发布日期：2019-06-10
更新日期：2019-06-11

受影响系统：

Oracle JD Edwards EnterpriseOne Tools 9.2
Oracle Primavera Unifier 18.8
Oracle Primavera Unifier 18.1
Oracle Primavera Unifier 17.12
Oracle Primavera Unifier 17.1
Oracle Primavera Unifier 16.2
Oracle Primavera Unifier 16.1
Oracle Primavera Unifier 15.2
Oracle Primavera Unifier 15.1
Oracle Retail Merchandising System 15.0
Oracle Oracle Enterprise Manager for Virtualization 13.3.1
Oracle Oracle Enterprise Manager for Virtualization 13.2.3
Oracle Oracle Enterprise Manager for Virtualization 13.2.2
Oracle Banking Platform 2.6.2
Oracle Banking Platform 2.6.1
Oracle Banking Platform 2.6
Oracle Banking Platform 2.5.0
FasterXML jackson-databind 2.9.5
FasterXML jackson-databind 2.9.4
FasterXML jackson-databind 2.9.2
FasterXML jackson-databind 2.9.1
FasterXML jackson-databind 2.9
FasterXML jackson-databind 2.8.11.1
FasterXML jackson-databind 2.8.11
FasterXML jackson-databind 2.7.9.3
FasterXML jackson-databind 2.7.9.1

不受影响系统：

FasterXML jackson-databind 2.9.6
FasterXML jackson-databind 2.8.11.2
FasterXML jackson-databind 2.7.9.4

描述：

---

BUGTRAQ  ID: 105659
CVE(CAN) ID: CVE-2018-12023

fasterxml是一个SAX模式的XML解析器。它直接解析XML文本，调用注册的事件函数，快速访问XML中感兴趣的内容。

在2.7.9.4,2.8.11.2和2.9.6之前的FasterXML jackson-databind中发现了一个问题。启用“默认类型”（全局或特定属性）时，服务在类路径中具有Oracle JDBC jar，并且攻击者可以提供LDAP服务以进行访问，可以使服务执行恶意负载。

<*来源：Tatu Saloranta
  
  链接：https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
*>

建议：

---

厂商补丁：

Oracle
------
Oracle已经为此发布了一个安全公告（CVE-2018-12023）以及相应补丁:
CVE-2018-12023：Oracle Critical Patch Update Advisory - April 2019
链接：https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

补丁下载：

浏览次数：1465
严重程度：0（网友投票）