2019-1281: jackson-databind: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen

Historie:

Version 1 (2019-06-24 15:24)

Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Ist die 'Default Typing' Option für einen JSON-Endpunkt aktiviert und falls der Dienst gleichzeitig JDOM (1.x oder 2.x) oder logback-core im Klassenpfad hat, kann ein entfernter, nicht authentisierter Angreifer über speziell präparierte JSON-Daten Lesezugriff auf beliebige Dateien des Servers erhalten.

Debian stellt für Debian 8 Jessie (LTS) ein Sicherheitsupdate zur Behebung der Schwachstellen in 'jackson-databind' bereit.

Schwachstellen:

CVE-2019-12384

Schwachstelle in jackson-databind ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2019-12814

Schwachstelle in jackson-databind ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.