Sikkerhedsoplysninger / 2017 / Sikkerhedsoplysninger -- DSA-4037-1 jackson-databind

Debians sikkerhedsbulletin

DSA-4037-1 jackson-databind -- sikkerhedsopdatering

Rapporteret den:

16. nov 2017

Berørte pakker:

jackson-databind

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2017-15095.

Yderligere oplysninger:

Man opdagede at jackson-databind, et Java-bibliotek der anvendes til at fortolke JSON og andre dataformater, på ukorrekt vis validerede brugerinddata før deserialisering: efter DSA-4004-1 vedrørende CVE-2017-7525, blev der fundet yderligere et sæt klasser, der var usikre i forhold til deserialisering.

I den gamle stabile distribution (jessie), er dette problem rettet i version 2.4.2-2+deb8u2.

I den stabile distribution (stretch), er dette problem rettet i version 2.8.6-1+deb9u2.

Vi anbefaler at du opgraderer dine jackson-databind-pakker.