데비안 보안 권고

DSA-4542-1 jackson-databind -- 보안 업데이트

보고일:
2019년 10월 06일
영향 받는 패키지:
jackson-databind
위험성:
보안 데이터베이스 참조:
데비안 버그 추적 시스템: 버그 941530, 버그 940498, 버그 933393, 버그 930750.
Mitre의 CVE 사전: CVE-2019-12384, CVE-2019-14439, CVE-2019-14540, CVE-2019-16335, CVE-2019-16942, CVE-2019-16943.
추가 정보:

It was discovered that jackson-databind, a Java library used to parse JSON and other data formats, did not properly validate user input before attempting deserialization. This allowed an attacker providing maliciously crafted input to perform code execution, or read arbitrary files on the server.

For the oldstable distribution (stretch), these problems have been fixed in version 2.8.6-1+deb9u6.

안정 배포(buster)에서, 이 문제를 버전 2.9.8-3+deb10u1에서 고침.

jackson-databind 패키지를 업그레이드 하는 게 좋음.

jackson-databind의 자세한 보안 상태는 보안 추적 페이지 참조: https://security-tracker.debian.org/tracker/jackson-databind