2019-1064: Jackson Databind: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-05-27 15:40)

Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in Jackson Databind ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, einen Server-Side-Request-Forgery (SSRF)-Angriff sowie in zwei Fällen das Ausspähen von Informationen.

Für Debian Stretch (stable) steht ein Sicherheitsupdate für 'jackson-databind' bereit, welches diese Schwachstellen behebt.

Schwachstellen:

CVE-2018-11307

Schwachstelle in jackson-databind ermöglicht Ausspähen von Informationen

CVE-2018-12022

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-12023

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-14718

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-14719

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-14720

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-14721

Schwachstelle in jackson-databind ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2018-19360

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-19361

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-19362

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-12086

Schwachstelle in jackson-databind ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.