Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 10 (29.01.2018):
Fedora hat die Sicherheitsupdates FEDORA-2018-bbf8c38b51 (Fedora 26,
jackson-databind-2.7.6-8.fc26) und FEDORA-2018-e4b025841e (Fedora 27,
jackson-databind-2.7.6-8.fc27) um die Schwachstelle CVE-2018-5968 ergänzt
und die Pakete hochgezählt.
Version 9 (23.01.2018):
Für die Red Hat Software Collections 1 für RHEL Server 7, 7.3 und 7.4
sowie Workstation 7 stehen neue Sicherheitsupdates für das Paket
‘rh-eclipse46-jackson-databind’ zur Verfügung, mit denen über
CVE-2017-17485 weitere Problemklassen adressiert werden.
Version 8 (16.01.2018):
Für Fedora 26 und 27 stehen aktualisierte Sicherheitsupdates in Form der
‘New Builds’ ‘jackson-databind-2.7.6-7.fc26’ und
‘jackson-databind-2.7.6-7.fc27’ bereit. FEDORA-2018-bbf8c38b51 und
FEDORA-2018-e4b025841e wurden entsprechend aktualisiert und befinden sich
erneut im Status ‘testing’.
Version 7 (12.01.2018):
Für die Distributionen Fedora 26 und 27 stehen Sicherheitsupdates in Form
von ‘jackson-databind-2.7.6-6’-Paketen zur Behebung einer Schwachstelle,
die das Ausführen beliebigen Programmcodes ermöglicht, im Status ‘testing’
bereit. Die ursprüngliche Schwachstelle CVE-2017-7525 wurde unvollständig
behoben, dafür wurde die Schwachstelle CVE-2017-15095 angelegt, die
ebenfalls unvollständig behoben wurde, weshalb die Schwachstelle
CVE-2017-17485 erzeugt wurde, die über die jetzt für Fedora vorhandenen
Sicherheitsupdates behoben werden soll.
Version 6 (17.11.2017):
Debian stellt für die Distributionen Jessie (old stable) und Stretch
(stable) erneut Sicherheitsupdates für jackson-databind bereit, um nach
der Schwachstelle CVE-2017-7525 jetzt auch die Schwachstelle
CVE-2017-15095 zu beheben.
Version 5 (13.11.2017):
Für die Red Hat Developer Tools 1 für RHEL Workstation und RHEL Server
sowie für Red Hat Software Collections 1 für RHEL Server 7, 7.3 und 7.4
sowie Workstation 7 stehen Sicherheitsupdates für die Pakete
‘rh-eclipse46-jackson-databind’ und ‘rh-eclipse47-jackson-databind’ zur
Verfügung.
Version 4 (06.11.2017):
Für Fedora 26 und 27 stehen neue Sicherheitsupdates für ‘jackson-databind’
im Status ‘testing’ bereit, da die Schwachstelle CVE-2017-7525 in einigen
Red Hat Produkten nicht vollständig behoben wurde. Die Probleme im Kontext
der Blacklist ‘NO_DESER_CLASS_NAMES’ werden mit dem neuen
Schwachstellenbezeichner CVE-2017-15095 behandelt. Diese Schwachstelle
betrifft möglicherweise auch weitere Distributionen.
Version 3 (23.10.2017):
Debian stellt für die stabile Distribution Stretch sowie die vormals
stabile Distribution Jessie Sicherheitsupdates für ‘jackson-databind’ zur
Verfügung.
Version 2 (01.08.2017):
Red Hat stellt für die Red Hat Software Collections 1 aktualisierte
‘rh-eclipse46-jackson-databind’-Pakete für Red Hat Enterprise Linux 7 und
aktualisierte ‘devtoolset-4-jackson-databind’ für Red Hat Enterprise Linux
6 und 7 bereit.
Version 1 (24.07.2017):
Neues Advisory
Betroffene Software:
jackson-databind
Betroffene Plattformen:
Red Hat Developer Tools (for RHEL Server) 1
Red Hat Developer Tools (for RHEL Workstation) 1
Red Hat Software Collections 1 RHEL 6
Red Hat Software Collections 1 RHEL 7
Red Hat Software Collections 1 RHEL 7.3
Red Hat Software Collections 1 RHEL 7.4
Debian Linux 8.9 Jessie
Debian Linux 9.2 Stretch
Red Hat Fedora 24
Red Hat Fedora 25
Red Hat Fedora 26
Red Hat Fedora 27
Eine Schwachstelle in jackson-databind ermöglicht es einem entfernten, nicht
authentisierten Angreifer bei der Deserialisierung präparierter Eingaben
beliebigen Programmcode auszuführen, wodurch dieser möglicherweise die
Kontrolle über ein System übernehmen kann.
Für Fedora 24, 25 und 26 stehen die Pakete ‘jackson-databind-2.6.3-3.fc24’,
‘jackson-databind-2.7.6-3.fc25’ und ‘jackson-databind-2.7.6-3.fc26’ als
Sicherheitsupdates im Status ‘testing’ bereit.
Patch:
Fedora Security Update FEDORA-2017-6a75c816fa (Fedora 26,
jackson-databind-2.7.6-3)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-6a75c816fa
Patch:
Fedora Security Update FEDORA-2017-8df9efed5f (Fedora 24,
jackson-databind-2.6.3-3)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-8df9efed5f
Patch:
Fedora Security Update FEDORA-2017-f452765e1e (Fedora 25,
jackson-databind-2.7.6-3)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-f452765e1e
Patch:
Red Hat Security Advisory RHSA-2017:1839
http://rhn.redhat.com/errata/RHSA-2017-1839.html
Patch:
Red Hat Security Advisory RHSA-2017:1840
http://rhn.redhat.com/errata/RHSA-2017-1840.html
Patch:
Debian Security Advisory DSA-4004-1
https://www.debian.org/security/2017/dsa-4004
Patch:
Fedora Security Update FEDORA-2017-4a071ecbc7 (Fedora 27,
jackson-databind-2.7.6-5)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-4a071ecbc7
Patch:
Fedora Security Update FEDORA-2017-e16ed3f7a1 (Fedora 26,
jackson-databind-2.7.6-5)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-e16ed3f7a1
Patch:
Red Hat Security Advisory RHSA-2017:3189
https://access.redhat.com/errata/RHSA-2017:3189
Patch:
Red Hat Security Advisory RHSA-2017:3190
https://access.redhat.com/errata/RHSA-2017:3190
Patch:
Debian Security Advisory DSA-4037-1
https://www.debian.org/security/2017/dsa-4037
Patch:
Fedora Security Update FEDORA-2018-bbf8c38b51 (Fedora 26,
jackson-databind-2.7.6-8.fc26)
https://bodhi.fedoraproject.org/updates/FEDORA-2018-bbf8c38b51
Patch:
Fedora Security Update FEDORA-2018-e4b025841e (Fedora 27,
jackson-databind-2.7.6-8.fc27)
https://bodhi.fedoraproject.org/updates/FEDORA-2018-e4b025841e
Patch:
Red Hat Security Advisory RHSA-2018:0116
https://access.redhat.com/errata/RHSA-2018:0116
CVE-2018-5968: Schwachstelle in jackson-databind ermöglicht Ausführung
beliebigen Programmcodes
In den Red Hat-Paketen für ‘jackson-databind’ wurden die Schwachstellen
CVE-2017-7525 und CVE-2017-17485 nicht vollständig behoben. Ein entfernter,
nicht authentisierter Angreifer kann die ursprüngliche Schwachstelle
CVE-2017-7525 weiterhin ausnutzen, um beliebigen Programmcode zur Ausführung
zu bringen.
CVE-2017-17485: Schwachstelle in jackson-databind ermöglicht Ausführung
beliebigen Programmcodes
In den Red Hat-Paketen für ‘jackson-databind’ wurden die Schwachstellen
CVE-2017-7525 und CVE-2017-15095 nicht vollständig behoben. Ein entfernter,
nicht authentisierter Angreifer kann die ursprüngliche Schwachstelle
CVE-2017-7525 weiterhin ausnutzen, um beliebigen Programmcode zur Ausführung
zu bringen.
CVE-2017-15095: Schwachstelle in jackson-databind ermöglicht Ausführung
beliebigen Programmcodes
In den Red Hat-Paketen für ‘jackson-databind’ wurde die Schwachstelle
CVE-2017-7525 nicht vollständig behoben, da das entsprechende
Herstellerticket geschlossen wurde, bevor dort eine vollständige Blacklist
vorhanden war. Das Problem betrifft möglicherweise auch andere
Distributionen. Ein entfernter, nicht authentisierter Angreifer kann die
ursprüngliche Schwachstelle weiterhin ausnutzen.
CVE-2017-7525: Schwachstelle in jackson-databind ermöglicht Ausführung
beliebigen Programmcodes
Die Methode ‘readValue’ im ObjectMapper von jackson-databind, einem
Bestandteil der Jackson JSON-Bibliothek und als solcher unter anderem in
Apache Struts 2 verwendet, ermöglicht es einem entfernten, nicht
authentisierten Angreifer über präparierte Eingaben, während der
Deserialisierung von Objekten, beliebigen Programmcode zur Ausführung zu
bringen und die Kontrolle über ein System möglicherweise vollständig zu
übernehmen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1264/
Schwachstelle CVE-2017-7525 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7525
Fedora Security Update FEDORA-2017-6a75c816fa (Fedora 26,
jackson-databind-2.7.6-3):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-6a75c816fa
Fedora Security Update FEDORA-2017-8df9efed5f (Fedora 24,
jackson-databind-2.6.3-3):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-8df9efed5f
Fedora Security Update FEDORA-2017-f452765e1e (Fedora 25,
jackson-databind-2.7.6-3):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-f452765e1e
Red Hat Security Advisory RHSA-2017:1839:
http://rhn.redhat.com/errata/RHSA-2017-1839.html
Red Hat Security Advisory RHSA-2017:1840:
http://rhn.redhat.com/errata/RHSA-2017-1840.html
Debian Security Advisory DSA-4004-1:
https://www.debian.org/security/2017/dsa-4004
Schwachstelle CVE-2017-15095 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15095
Schwachstelle CVE-2017-15095 (Red Hat):
https://access.redhat.com/security/cve/CVE-2017-15095
Fedora Security Update FEDORA-2017-4a071ecbc7 (Fedora 27,
jackson-databind-2.7.6-5):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-4a071ecbc7
Fedora Security Update FEDORA-2017-e16ed3f7a1 (Fedora 26,
jackson-databind-2.7.6-5):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-e16ed3f7a1
Red Hat Security Advisory RHSA-2017:3189:
https://access.redhat.com/errata/RHSA-2017:3189
Red Hat Security Advisory RHSA-2017:3190:
https://access.redhat.com/errata/RHSA-2017:3190
Debian Security Advisory DSA-4037-1:
https://www.debian.org/security/2017/dsa-4037
Schwachstelle CVE-2017-17485 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-17485
Fedora Security Update FEDORA-2018-bbf8c38b51 (Fedora 26,
jackson-databind-2.7.6-8.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-bbf8c38b51
Fedora Security Update FEDORA-2018-e4b025841e (Fedora 27,
jackson-databind-2.7.6-8.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-e4b025841e
Schwachstelle CVE-2018-5968 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5968
Red Hat Security Advisory RHSA-2018:0116:
https://access.redhat.com/errata/RHSA-2018:0116
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
