Información sobre seguridad / 2019 / Información sobre seguridad -- DSA-4542-1 jackson-databind

Aviso de seguridad de Debian

DSA-4542-1 jackson-databind -- actualización de seguridad

Fecha del informe:

6 de oct de 2019

Paquetes afectados:

jackson-databind

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 941530, error 940498, error 933393, error 930750.
En el diccionario CVE de Mitre: CVE-2019-12384, CVE-2019-14439, CVE-2019-14540, CVE-2019-16335, CVE-2019-16942, CVE-2019-16943.

Información adicional:

Se descubrió que jackson-databind, una biblioteca Java usada para analizar sintácticamente JSON y otros formatos de datos, no validaba correctamente la entrada proporcionada por el usuario antes de intentar la reconstrucción de datos serializados. Esto permitía a un atacante que proporcionara una entrada preparada maliciosamente ejecutar código o leer ficheros arbitrarios del servidor.

Para la distribución «antigua estable» (stretch), estos problemas se han corregido en la versión 2.8.6-1+deb9u6.

Para la distribución «estable» (buster), estos problemas se han corregido en la versión 2.9.8-3+deb10u1.

Le recomendamos que actualice los paquetes de jackson-databind.

Para información detallada sobre el estado de seguridad de jackson-databind, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/jackson-databind