Aviso de seguridad de Debian

DSA-4004-1 jackson-databind -- actualización de seguridad

Fecha del informe:
20 de oct de 2017
Paquetes afectados:
jackson-databind
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 870848.
En el diccionario CVE de Mitre: CVE-2017-7525.
Información adicional:

Liao Xinxi descubrió que jackson-databind, una biblioteca Java utilizada para analizar sintácticamente JSON y otros formatos de datos, no validaba correctamente la entrada proporcionada por el usuario antes de intentar la reconstrucción de datos serializados. Esto permitía que un atacante ejecutara código proporcionando una entrada preparada maliciosamente.

Para la distribución «antigua estable» (jessie), este problema se ha corregido en la versión 2.4.2-2+deb8u1.

Para la distribución «estable» (stretch), este problema se ha corregido en la versión 2.8.6-1+deb9u1.

Le recomendamos que actualice los paquetes de jackson-databind.