Säkerhetsinformation / 2019 / Säkerhetsinformation -- DSA-4542-1 jackson-databind

Säkerhetsbulletin från Debian

DSA-4542-1 jackson-databind -- säkerhetsuppdatering

Rapporterat den:

2019-10-06

Berörda paket:

jackson-databind

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 941530, Fel 940498, Fel 933393, Fel 930750.
I Mitres CVE-förteckning: CVE-2019-12384, CVE-2019-14439, CVE-2019-14540, CVE-2019-16335, CVE-2019-16942, CVE-2019-16943.

Ytterligare information:

Man har upptäckt att jackson-databind, ett Java-bibliotek som används för att tolka JSON och andra dataformat, inte validerar användarindata ordentligt före den försöker deserialisering. Detta tillät en angripare som tillhandahåller illasinnat skapad indata att utföra kodexekvering, eller att läsa godtyckliga filer på servern.

För den gamla stabila utgåvan (Stretch) har dessa problem rättats i version 2.8.6-1+deb9u6.

För den stabila utgåvan (Buster) har dessa problem rättats i version 2.9.8-3+deb10u1.

Vi rekommenderar att ni uppgraderar era jackson-databind-paket.

För detaljerad säkerhetsstatus om jackson-databind vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/jackson-databind