DFN-CERT-2017-1264 jackson-databind: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Fedora]

DFN-CERT-2017-1264 jackson-databind: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

jackson-databind

Betroffene Plattformen:

Red Hat Fedora 24
Red Hat Fedora 25
Red Hat Fedora 26

Eine Schwachstelle in jackson-databind ermöglicht es einem entfernten, nicht
authentisierten Angreifer bei der Deserialisierung präparierter Eingaben
beliebigen Programmcode auszuführen, wodurch dieser möglicherweise die
Kontrolle über ein System übernehmen kann.

Für Fedora 24, 25 und 26 stehen die Pakete ‘jackson-databind-2.6.3-3.fc24’,
‘jackson-databind-2.7.6-3.fc25’ und ‘jackson-databind-2.7.6-3.fc26’ als
Sicherheitsupdates im Status ‘testing’ bereit.

Patch:

Fedora Security Update FEDORA-2017-6a75c816fa (Fedora 26,
jackson-databind-2.7.6-3)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-6a75c816fa

Patch:

Fedora Security Update FEDORA-2017-8df9efed5f (Fedora 24,
jackson-databind-2.6.3-3)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-8df9efed5f

Patch:

Fedora Security Update FEDORA-2017-f452765e1e (Fedora 25,
jackson-databind-2.7.6-3)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-f452765e1e

CVE-2017-7525: Schwachstelle in jackson-databind ermöglicht Ausführung
beliebigen Programmcodes

Die Methode ‘readValue’ im ObjectMapper von jackson-databind ermöglicht es
über präparierte Eingaben, während der Deserialisierung von Objekten,
beliebigen Programmcode zur Ausführung zu bringen und die Kontrolle über ein
System möglicherweise vollständig zu übernehmen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1264/

Schwachstelle CVE-2017-7525 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7525

Fedora Security Update FEDORA-2017-6a75c816fa (Fedora 26,
jackson-databind-2.7.6-3):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-6a75c816fa

Fedora Security Update FEDORA-2017-8df9efed5f (Fedora 24,
jackson-databind-2.6.3-3):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-8df9efed5f

Fedora Security Update FEDORA-2017-f452765e1e (Fedora 25,
jackson-databind-2.7.6-3):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-f452765e1e

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben