Säkerhetsbulletin från Debian

DSA-4004-1 jackson-databind -- säkerhetsuppdatering

Rapporterat den:
2017-10-20
Berörda paket:
jackson-databind
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 870848.
I Mitres CVE-förteckning: CVE-2017-7525.
Ytterligare information:

Liao Xinxi upptäckte att jackson-databind, ett javabibliotek som används för att tolka JSON och andra dataformat, inte validerar användarindata ordentligt innan det försöker deserialisera. Detta tillåter en angripare att utföra kodexekvering genom att tillhandahålla illasinnat skapad indata.

För den gamla stabila utgåvan (Jessie) har detta problem rättats i version 2.4.2-2+deb8u1.

För den stabila utgåvan (Stretch) har detta problem rättats i version 2.8.6-1+deb9u1.

Vi rekommenderar att ni uppgraderar era jackson-databind-paket.