Sikkerhedsoplysninger / 2019 / Sikkerhedsoplysninger -- DSA-4542-1 jackson-databind

Debians sikkerhedsbulletin

DSA-4542-1 jackson-databind -- sikkerhedsopdatering

Rapporteret den:

6. okt 2019

Berørte pakker:

jackson-databind

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 941530, Fejl 940498, Fejl 933393, Fejl 930750.
I Mitres CVE-ordbog: CVE-2019-12384, CVE-2019-14439, CVE-2019-14540, CVE-2019-16335, CVE-2019-16942, CVE-2019-16943.

Yderligere oplysninger:

Man opdagede at jackson-databind, et Java-bibliotek der anvendes til at fortolke JSON og andre dataformater, ikke på korrekt vis validerde brugerindata før det forsøgte deserialisering. Dermed kunne en angreb, der leverer ondsindet fabrikeret inddata, udføre kode eller læse vilkårlige filer på serveren.

I den gamle stabile distribution (stretch), er disse problemer rettet i version 2.8.6-1+deb9u6.

I den stabile distribution (buster), er disse problemer rettet i version 2.9.8-3+deb10u1.

Vi anbefaler at du opgraderer dine jackson-databind-pakker.

For detaljeret sikkerhedsstatus vedrørende jackson-databind, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/jackson-databind