根据网页截图,以下是从这个关于漏洞的关键信息: - **漏洞ID和CVE编号**: - Bug ID: 1758171 - CVE编号: CVE-2019-14892 - **漏洞状态**: - 状态: CLOSED ERRATA - **漏洞组件及版本**: - 组件: jackson-databind - 固定在以下版本:jackson-databind 2.9.10, jackson-databind 2.6.7.3 - **详细的描述及上游信息**: - 描述: jackson-databind 中发现了一个漏洞。对此,新的序列化小工具被发现,这将有助于利用反序列化问题。 - 上游问题链接: https://github.com/FasterXML/jackson-databind/issues/2462 - 上游修复链接: https://github.com/FasterXML/jackson-databind/commit/41b7f9b90149e9d44a65a8261a8deedc7186f6af - 参考链接: https://medium.com/@cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062 - **影响的产品**: - 包括但不限于: - Red Hat JBoss Enterprise Application Platform 7.2 for RHEL 6, 7, 8 - Red Hat Single Sign-On - Red Hat Process Automation - Red Hat Decision Manager - Red Hat OpenShift Application Runtimes - 等等 - **忽略的安全问题**: - 对于特定的Red Hat JBoss产品线,该漏洞超出了安全支持的范围,如:Red Hat JBoss BPM Suite 6 和 Red Hat JBoss Data Virtualization & Services 6,请参考 https://access.redhat.com/support/policy/updates/jboss_notes 查看更多详情。 - **更新和修复**: - 该漏洞已通过多个RHSA 解决,包括 RHSA-2020:0164, RHSA-2020:0159, RHSA-2020:0160 等等。 - 该漏洞目前已关闭,后续产品的单独更新将在 CVE页面上更新 https://access.redhat.com/security/cve/cve-2019-14892 - **附加的评论和进一步的信息**: - 某些特定产品(如Red Hat Data Grid,Red Hat Satellite等)不受该漏洞影响或不受相互关联影响,进一步的细节在单独的注释中被讨论。例如,对于 Red Hat ActiveMQ Artemis 2.12.0,此漏洞无需修复等。 - 将来的版本更新可能会解决依赖于 jackson-databind 但当前不应立即升级的问题。 - 对其他可能性的影响会根据具体的实际环境进行具体分析,并且应当根据厂商建议进行处理。 以上信息是通过该 Bugzilla 报告中的详细描述和评论来提取的,提请注意的是,应当阅读完整的文档和官方公告以获取最详尽的信息。