Debians sikkerhedsbulletin

DSA-4004-1 jackson-databind -- sikkerhedsopdatering

Rapporteret den:
20. okt 2017
Berørte pakker:
jackson-databind
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 870848.
I Mitres CVE-ordbog: CVE-2017-7525.
Yderligere oplysninger:

Liao Xinxi opdagede at jackson-databind, et Java-bibliotek som anvendes til at fortolke JSON og andre dataformater, ikke på korrekt vis validerede brugerinddata, før deserialisering blev forsøgt. Dermed kunne en angriber udføre kode, ved at levere ondsindet fremstillede inddata.

I den gamle stabile distribution (jessie), er dette problem rettet i version 2.4.2-2+deb8u1.

I den stabile distribution (stretch), er dette problem rettet i version 2.8.6-1+deb9u1.

Vi anbefaler at du opgraderer dine jackson-databind-pakker.