UPDATE: DFN-CERT-2017-1264 jackson-databind: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Debian][Fedora]

UPDATE: DFN-CERT-2017-1264 jackson-databind: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (13.11.2017):
Für die Red Hat Developer Tools 1 für RHEL Workstation und RHEL Server
sowie für Red Hat Software Collections 1 für RHEL Server 7, 7.3 und 7.4
sowie Workstation 7 stehen Sicherheitsupdates für die Pakete
‘rh-eclipse46-jackson-databind’ und ‘rh-eclipse47-jackson-databind’ zur
Verfügung.
Version 4 (06.11.2017):
Für Fedora 26 und 27 stehen neue Sicherheitsupdates für ‘jackson-databind’
im Status ‘testing’ bereit, da die Schwachstelle CVE-2017-7525 in einigen
Red Hat Produkten nicht vollständig behoben wurde. Die Probleme im Kontext
der Blacklist ‘NO_DESER_CLASS_NAMES’ werden mit dem neuen
Schwachstellenbezeichner CVE-2017-15095 behandelt. Diese Schwachstelle
betrifft möglicherweise auch weitere Distributionen.
Version 3 (23.10.2017):
Debian stellt für die stabile Distribution Stretch sowie die vormals
stabile Distribution Jessie Sicherheitsupdates für ‘jackson-databind’ zur
Verfügung.
Version 2 (01.08.2017):
Red Hat stellt für die Red Hat Software Collections 1 aktualisierte
‘rh-eclipse46-jackson-databind’-Pakete für Red Hat Enterprise Linux 7 und
aktualisierte ‘devtoolset-4-jackson-databind’ für Red Hat Enterprise Linux
6 und 7 bereit.
Version 1 (24.07.2017):
Neues Advisory

Betroffene Software:

jackson-databind

Betroffene Plattformen:

Red Hat Developer Tools (for RHEL Server) 1
Red Hat Developer Tools (for RHEL Workstation) 1
Red Hat Software Collections 1 RHEL 6
Red Hat Software Collections 1 RHEL 7
Red Hat Software Collections 1 RHEL 7.3
Red Hat Software Collections 1 RHEL 7.4
Debian Linux 8.9 Jessie
Debian Linux 9.2 Stretch
Red Hat Fedora 24
Red Hat Fedora 25
Red Hat Fedora 26
Red Hat Fedora 27

Eine Schwachstelle in jackson-databind ermöglicht es einem entfernten, nicht
authentisierten Angreifer bei der Deserialisierung präparierter Eingaben
beliebigen Programmcode auszuführen, wodurch dieser möglicherweise die
Kontrolle über ein System übernehmen kann.

Für Fedora 24, 25 und 26 stehen die Pakete ‘jackson-databind-2.6.3-3.fc24’,
‘jackson-databind-2.7.6-3.fc25’ und ‘jackson-databind-2.7.6-3.fc26’ als
Sicherheitsupdates im Status ‘testing’ bereit.

Patch:

Fedora Security Update FEDORA-2017-6a75c816fa (Fedora 26,
jackson-databind-2.7.6-3)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-6a75c816fa

Patch:

Fedora Security Update FEDORA-2017-8df9efed5f (Fedora 24,
jackson-databind-2.6.3-3)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-8df9efed5f

Patch:

Fedora Security Update FEDORA-2017-f452765e1e (Fedora 25,
jackson-databind-2.7.6-3)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-f452765e1e

Patch:

Red Hat Security Advisory RHSA-2017:1839

http://rhn.redhat.com/errata/RHSA-2017-1839.html

Patch:

Red Hat Security Advisory RHSA-2017:1840

http://rhn.redhat.com/errata/RHSA-2017-1840.html

Patch:

Debian Security Advisory DSA-4004-1

https://www.debian.org/security/2017/dsa-4004

Patch:

Fedora Security Update FEDORA-2017-4a071ecbc7 (Fedora 27,
jackson-databind-2.7.6-5)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-4a071ecbc7

Patch:

Fedora Security Update FEDORA-2017-e16ed3f7a1 (Fedora 26,
jackson-databind-2.7.6-5)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-e16ed3f7a1

Patch:

Red Hat Security Advisory RHSA-2017:3189

https://access.redhat.com/errata/RHSA-2017:3189

Patch:

Red Hat Security Advisory RHSA-2017:3190

https://access.redhat.com/errata/RHSA-2017:3190

CVE-2017-15095: Schwachstelle in jackson-databind ermöglicht Ausführung
beliebigen Programmcodes

In den Red Hat-Paketen für ‘jackson-databind’ wurde die Schwachstelle
CVE-2017-7525 nicht vollständig behoben, da das entsprechende
Herstellerticket geschlossen wurde, bevor dort eine vollständige Blacklist
vorhanden war. Das Problem betrifft möglicherweise auch andere
Distributionen. Ein entfernter, nicht authentisierter Angreifer kann die
ursprüngliche Schwachstelle weiterhin ausnutzen.

CVE-2017-7525: Schwachstelle in jackson-databind ermöglicht Ausführung
beliebigen Programmcodes

Die Methode ‘readValue’ im ObjectMapper von jackson-databind ermöglicht es
einem entfernten, nicht authentisierten Angreifer über präparierte Eingaben,
während der Deserialisierung von Objekten, beliebigen Programmcode zur
Ausführung zu bringen und die Kontrolle über ein System möglicherweise
vollständig zu übernehmen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1264/

Schwachstelle CVE-2017-7525 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7525

Fedora Security Update FEDORA-2017-6a75c816fa (Fedora 26,
jackson-databind-2.7.6-3):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-6a75c816fa

Fedora Security Update FEDORA-2017-8df9efed5f (Fedora 24,
jackson-databind-2.6.3-3):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-8df9efed5f

Fedora Security Update FEDORA-2017-f452765e1e (Fedora 25,
jackson-databind-2.7.6-3):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-f452765e1e

Red Hat Security Advisory RHSA-2017:1839:
http://rhn.redhat.com/errata/RHSA-2017-1839.html

Red Hat Security Advisory RHSA-2017:1840:
http://rhn.redhat.com/errata/RHSA-2017-1840.html

Debian Security Advisory DSA-4004-1:
https://www.debian.org/security/2017/dsa-4004

Schwachstelle CVE-2017-15095 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15095

Schwachstelle CVE-2017-15095 (Red Hat):
https://access.redhat.com/security/cve/CVE-2017-15095

Fedora Security Update FEDORA-2017-4a071ecbc7 (Fedora 27,
jackson-databind-2.7.6-5):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-4a071ecbc7

Fedora Security Update FEDORA-2017-e16ed3f7a1 (Fedora 26,
jackson-databind-2.7.6-5):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-e16ed3f7a1

Red Hat Security Advisory RHSA-2017:3189:
https://access.redhat.com/errata/RHSA-2017:3189

Red Hat Security Advisory RHSA-2017:3190:
https://access.redhat.com/errata/RHSA-2017:3190

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben