• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-4542-1 jackson-databind -- обновление безопасности

Главная Специалистам База уязвимостей DSA-4542-1 jackson-databind -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
Описание
Было обнаружено, что jackson-databind, Java-библиотека для грамматического
разбора JSON и других форматов данных, неправильно выполняет проверку пользовательских
данных перед попыткой их десериализации. Это позволяет злоумышленнику, предоставляющему
специально сформированные входные данные, выполнять выполнение кода или считывать
произвольные файлы на сервере.
В предыдущем стабильном выпуске (stretch) эти проблемы были исправлены
в версии 2.8.6-1+deb9u6.
В стабильном выпуске (buster) эти проблемы были исправлены в
версии 2.9.8-3+deb10u1.
Рекомендуется обновить пакеты jackson-databind.
С подробным статусом поддержки безопасности jackson-databind можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/jackson-databind">https://security-tracker.debian.org/tracker/jackson-databind">https://security-tracker.debian.org/tracker/jackson-databind
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
libjackson2-databind-java - 2.8.6-1+deb9u6
libjackson2-databind-java-doc - 2.8.6-1+deb9u6
Debian GNU/Linux 1:
noarch:
libjackson2-databind-java - 2.9.8-3+deb10u1
libjackson2-databind-java-doc - 2.9.8-3+deb10u1
Ссылки
Источник: CVE
Наименование: CVE-2019-12384
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12384

Источник: CVE
Наименование: CVE-2019-14439
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14439

Источник: CVE
Наименование: CVE-2019-14540
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14540

Источник: CVE
Наименование: CVE-2019-16335
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16335

Источник: CVE
Наименование: CVE-2019-16942
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16942

Источник: CVE
Наименование: CVE-2019-16943
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16943

http://www.debian.org/security/dsa-4542/