Información sobre seguridad / 2017 / Información sobre seguridad -- DSA-4037-1 jackson-databind

Aviso de seguridad de Debian

DSA-4037-1 jackson-databind -- actualización de seguridad

Fecha del informe:

16 de nov de 2017

Paquetes afectados:

jackson-databind

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2017-15095.

Información adicional:

Se descubrió que jackson-databind, una biblioteca Java utilizada para analizar sintácticamente JSON y otros formatos de datos, validaba incorrectamente la entrada proporcionada por el usuario antes de reconstruir datos serializados: tras el aviso DSA-4004-1 para CVE-2017-7525, se identificó un conjunto adicional de clases como inseguras para la reconstrucción de datos serializados.

Para la distribución «antigua estable» (jessie), este problema se ha corregido en la versión 2.4.2-2+deb8u2.

Para la distribución «estable» (stretch), este problema se ha corregido en la versión 2.8.6-1+deb9u2.

Le recomendamos que actualice los paquetes de jackson-databind.