DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-1264: jackson-databind: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes

Historie

Version 1 (2017-07-24 10:33)
Neues Advisory
Version 2 (2017-08-01 09:10)
Red Hat stellt für die Red Hat Software Collections 1 aktualisierte 'rh-eclipse46-jackson-databind'-Pakete für Red Hat Enterprise Linux 7 und aktualisierte 'devtoolset-4-jackson-databind' für Red Hat Enterprise Linux 6 und 7 bereit.
Version 3 (2017-10-23 10:14)
Debian stellt für die stabile Distribution Stretch sowie die vormals stabile Distribution Jessie Sicherheitsupdates für 'jackson-databind' zur Verfügung.
Version 4 (2017-11-06 13:23)
Für Fedora 26 und 27 stehen neue Sicherheitsupdates für 'jackson-databind' im Status 'testing' bereit, da die Schwachstelle CVE-2017-7525 in einigen Red Hat Produkten nicht vollständig behoben wurde. Die Probleme im Kontext der Blacklist 'NO_DESER_CLASS_NAMES' werden mit dem neuen Schwachstellenbezeichner CVE-2017-15095 behandelt. Diese Schwachstelle betrifft möglicherweise auch weitere Distributionen.
Version 5 (2017-11-13 10:50)
Für die Red Hat Developer Tools 1 für RHEL Workstation und RHEL Server sowie für Red Hat Software Collections 1 für RHEL Server 7, 7.3 und 7.4 sowie Workstation 7 stehen Sicherheitsupdates für die Pakete 'rh-eclipse46-jackson-databind' und 'rh-eclipse47-jackson-databind' zur Verfügung.
Version 6 (2017-11-17 09:42)
Debian stellt für die Distributionen Jessie (old stable) und Stretch (stable) erneut Sicherheitsupdates für jackson-databind bereit, um nach der Schwachstelle CVE-2017-7525 jetzt auch die Schwachstelle CVE-2017-15095 zu beheben.
Version 7 (2018-01-12 16:56)
Für die Distributionen Fedora 26 und 27 stehen Sicherheitsupdates in Form von 'jackson-databind-2.7.6-6'-Paketen zur Behebung einer Schwachstelle, die das Ausführen beliebigen Programmcodes ermöglicht, im Status 'testing' bereit. Die ursprüngliche Schwachstelle CVE-2017-7525 wurde unvollständig behoben, dafür wurde die Schwachstelle CVE-2017-15095 angelegt, die ebenfalls unvollständig behoben wurde, weshalb die Schwachstelle CVE-2017-17485 erzeugt wurde, die über die jetzt für Fedora vorhandenen Sicherheitsupdates behoben werden soll.
Version 8 (2018-01-16 09:38)
Für Fedora 26 und 27 stehen aktualisierte Sicherheitsupdates in Form der 'New Builds' 'jackson-databind-2.7.6-7.fc26' und 'jackson-databind-2.7.6-7.fc27' bereit. FEDORA-2018-bbf8c38b51 und FEDORA-2018-e4b025841e wurden entsprechend aktualisiert und befinden sich erneut im Status 'testing'.

Betroffene Software

jackson-databind

Betroffene Plattformen

Red Hat Developer Tools (for RHEL Server) 1
Red Hat Developer Tools (for RHEL Workstation) 1
Red Hat Software Collections 1 RHEL 6
Red Hat Software Collections 1 RHEL 7
Red Hat Software Collections 1 RHEL 7.3
Red Hat Software Collections 1 RHEL 7.4
Debian Linux 8.9 Jessie
Debian Linux 9.2 Stretch
Red Hat Fedora 24
Red Hat Fedora 25
Red Hat Fedora 26
Red Hat Fedora 27

Lösung

Patch

Fedora Security Update FEDORA-2017-6a75c816fa (Fedora 26, jackson-databind-2.7.6-3)

Patch

Fedora Security Update FEDORA-2017-8df9efed5f (Fedora 24, jackson-databind-2.6.3-3)

Patch

Fedora Security Update FEDORA-2017-f452765e1e (Fedora 25, jackson-databind-2.7.6-3)

Patch

Red Hat Security Advisory RHSA-2017:1839

Patch

Red Hat Security Advisory RHSA-2017:1840

Patch

Debian Security Advisory DSA-4004-1

Patch

Fedora Security Update FEDORA-2017-4a071ecbc7 (Fedora 27, jackson-databind-2.7.6-5)

Patch

Fedora Security Update FEDORA-2017-e16ed3f7a1 (Fedora 26, jackson-databind-2.7.6-5)

Patch

Red Hat Security Advisory RHSA-2017:3189

Patch

Red Hat Security Advisory RHSA-2017:3190

Patch

Debian Security Advisory DSA-4037-1

Patch

Fedora Security Update FEDORA-2018-bbf8c38b51 (Fedora 26, jackson-databind-2.7.6-7.fc26)

Patch

Fedora Security Update FEDORA-2018-e4b025841e (Fedora 27, jackson-databind-2.7.6-7.fc27)

Beschreibung

Eine Schwachstelle in jackson-databind ermöglicht es einem entfernten, nicht authentisierten Angreifer bei der Deserialisierung präparierter Eingaben beliebigen Programmcode auszuführen, wodurch dieser möglicherweise die Kontrolle über ein System übernehmen kann.

Für Fedora 24, 25 und 26 stehen die Pakete 'jackson-databind-2.6.3-3.fc24', 'jackson-databind-2.7.6-3.fc25' und 'jackson-databind-2.7.6-3.fc26' als Sicherheitsupdates im Status 'testing' bereit.

Schwachstellen

CVE-2017-17485: Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

In den Red Hat-Paketen für 'jackson-databind' wurden die Schwachstellen CVE-2017-7525 und CVE-2017-15095 nicht vollständig behoben. Ein entfernter, nicht authentisierter Angreifer kann die ursprüngliche Schwachstelle CVE-2017-7525 weiterhin ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen.

CVE-2017-15095: Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

In den Red Hat-Paketen für 'jackson-databind' wurde die Schwachstelle CVE-2017-7525 nicht vollständig behoben, da das entsprechende Herstellerticket geschlossen wurde, bevor dort eine vollständige Blacklist vorhanden war. Das Problem betrifft möglicherweise auch andere Distributionen. Ein entfernter, nicht authentisierter Angreifer kann die ursprüngliche Schwachstelle weiterhin ausnutzen.

CVE-2017-7525: Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

Die Methode 'readValue' im ObjectMapper von jackson-databind, einem Bestandteil der Jackson JSON-Bibliothek und als solcher unter anderem in Apache Struts 2 verwendet, ermöglicht es einem entfernten, nicht authentisierten Angreifer über präparierte Eingaben, während der Deserialisierung von Objekten, beliebigen Programmcode zur Ausführung zu bringen und die Kontrolle über ein System möglicherweise vollständig zu übernehmen.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.