DFN-CERT

Advisory-Archiv

2017-1264: jackson-databind: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-07-24 12:33)
Neues Advisory
Version 2 (2017-08-01 11:10)
Red Hat stellt für die Red Hat Software Collections 1 aktualisierte 'rh-eclipse46-jackson-databind'-Pakete für Red Hat Enterprise Linux 7 und aktualisierte 'devtoolset-4-jackson-databind' für Red Hat Enterprise Linux 6 und 7 bereit.
Version 3 (2017-10-23 12:14)
Debian stellt für die stabile Distribution Stretch sowie die vormals stabile Distribution Jessie Sicherheitsupdates für 'jackson-databind' zur Verfügung.
Version 4 (2017-11-06 14:23)
Für Fedora 26 und 27 stehen neue Sicherheitsupdates für 'jackson-databind' im Status 'testing' bereit, da die Schwachstelle CVE-2017-7525 in einigen Red Hat Produkten nicht vollständig behoben wurde. Die Probleme im Kontext der Blacklist 'NO_DESER_CLASS_NAMES' werden mit dem neuen Schwachstellenbezeichner CVE-2017-15095 behandelt. Diese Schwachstelle betrifft möglicherweise auch weitere Distributionen.
Version 5 (2017-11-13 11:50)
Für die Red Hat Developer Tools 1 für RHEL Workstation und RHEL Server sowie für Red Hat Software Collections 1 für RHEL Server 7, 7.3 und 7.4 sowie Workstation 7 stehen Sicherheitsupdates für die Pakete 'rh-eclipse46-jackson-databind' und 'rh-eclipse47-jackson-databind' zur Verfügung.
Version 6 (2017-11-17 10:42)
Debian stellt für die Distributionen Jessie (old stable) und Stretch (stable) erneut Sicherheitsupdates für jackson-databind bereit, um nach der Schwachstelle CVE-2017-7525 jetzt auch die Schwachstelle CVE-2017-15095 zu beheben.
Version 7 (2018-01-12 17:56)
Für die Distributionen Fedora 26 und 27 stehen Sicherheitsupdates in Form von 'jackson-databind-2.7.6-6'-Paketen zur Behebung einer Schwachstelle, die das Ausführen beliebigen Programmcodes ermöglicht, im Status 'testing' bereit. Die ursprüngliche Schwachstelle CVE-2017-7525 wurde unvollständig behoben, dafür wurde die Schwachstelle CVE-2017-15095 angelegt, die ebenfalls unvollständig behoben wurde, weshalb die Schwachstelle CVE-2017-17485 erzeugt wurde, die über die jetzt für Fedora vorhandenen Sicherheitsupdates behoben werden soll.
Version 8 (2018-01-16 10:38)
Für Fedora 26 und 27 stehen aktualisierte Sicherheitsupdates in Form der 'New Builds' 'jackson-databind-2.7.6-7.fc26' und 'jackson-databind-2.7.6-7.fc27' bereit. FEDORA-2018-bbf8c38b51 und FEDORA-2018-e4b025841e wurden entsprechend aktualisiert und befinden sich erneut im Status 'testing'.
Version 9 (2018-01-23 12:06)
Für die Red Hat Software Collections 1 für RHEL Server 7, 7.3 und 7.4 sowie Workstation 7 stehen neue Sicherheitsupdates für das Paket 'rh-eclipse46-jackson-databind' zur Verfügung, mit denen über CVE-2017-17485 weitere Problemklassen adressiert werden.
Version 10 (2018-01-29 13:16)
Fedora hat die Sicherheitsupdates FEDORA-2018-bbf8c38b51 (Fedora 26, jackson-databind-2.7.6-8.fc26) und FEDORA-2018-e4b025841e (Fedora 27, jackson-databind-2.7.6-8.fc27) um die Schwachstelle CVE-2018-5968 ergänzt und die Pakete hochgezählt.
Version 11 (2018-02-15 17:08)
Debian stellt erneut Sicherheitsupdates für die Distributionen Jessie (oldstable) 8.10 und Stretch (stable) 9.3 zur Verfügung, welche nun ebenfalls zusätzlich die Schwachstelle CVE-2018-5968 adressieren.
Version 12 (2018-02-22 15:56)
Für die Red Hat Software Collections 1 für RHEL Server 7, 7.3 und 7.4 sowie Workstation 7 stehen nun auch Sicherheitsupdates für das Paket 'rh-maven35-jackson-databind' zur Verfügung.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle in jackson-databind ermöglicht es einem entfernten, nicht authentisierten Angreifer bei der Deserialisierung präparierter Eingaben beliebigen Programmcode auszuführen, wodurch dieser möglicherweise die Kontrolle über ein System übernehmen kann.

Für Fedora 24, 25 und 26 stehen die Pakete 'jackson-databind-2.6.3-3.fc24', 'jackson-databind-2.7.6-3.fc25' und 'jackson-databind-2.7.6-3.fc26' als Sicherheitsupdates im Status 'testing' bereit.

Schwachstellen:

CVE-2017-15095

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-17485

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-7525

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-5968

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.