2019-0284: Jackson JSON Processor: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-02-11 15:25): Neues Advisory

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in Jackson JSON Processor und dort eingesetzten Datentyperweiterungen ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, zwei Server-Side-Request-Forgery (SSRF)-Angriffe und einen Denial-of-Service (DoS)-Angriff.

Für Fedora 29 steht ein Sicherheitsupdate im Status 'testing' bereit, mit dem die Schwachstellen behoben werden und die betroffene Software auf Version 2.9.8 aktualisiert wird. Mit diesem Update werden die Pakete 'bouncycastle-1.61-1.fc29', 'eclipse-jgit-5.2.0-4.fc29', 'eclipse-linuxtools-7.1.0-3.fc29', 'jackson-annotations-2.9.8-1.fc29', 'jackson-bom-2.9.8-1.fc29', 'jackson-core-2.9.8-1.fc29', 'jackson-databind-2.9.8-1.fc29', 'jackson-dataformats-binary-2.9.8-1.fc29', 'jackson-dataformats-text-2.9.8-1.fc29', 'jackson-dataformat-xml-2.9.8-1.fc29', 'jackson-datatype-jdk8-2.9.8-1.fc29', 'jackson-datatype-joda-2.9.8-1.fc29', 'jackson-datatypes-collections-2.9.8-1.fc29', 'jackson-jaxrs-providers-2.9.8-1.fc29', 'jackson-module-jsonSchema-2.9.8-1.fc29', 'jackson-modules-base-2.9.8-1.fc29' und 'jackson-parent-2.9.1.2-1.fc29' bereitgestellt.

Schwachstellen:

CVE-2016-7051

Schwachstelle in jackson-dataformat-xml ermöglicht Server-Side-Request-Forgery-Angriff