Bundesamt für Sicherheit in der Informationstechnik

CB-K17/1231 Update 1

Risikostufe 2

Titel:jackson-databind: Eine Schwachstelle ermöglicht die Ausführung beliebigen ProgrammcodesDatum:01.08.2017Software:jackson-databindPlattform:Red Hat Software Collections 1 RHEL 6, Red Hat Software Collections 1 RHEL 7, Red Hat Fedora 24, Red Hat Fedora 25, Red Hat Fedora 26Auswirkung:Ausführen beliebigen ProgrammcodesRemoteangriff:JaRisiko:niedrigCVE Liste:CVE-2017-7525Bezug: Fedora Security Update FEDORA-2017-6a75c816fa (Fedora 26, jackson-databind-2.7.6-3)

Beschreibung

jackson-databind ist das allgemeine Datenbindungspaket für Jackson.

Eine Schwachstelle in jackson-databind ermöglicht es einem entfernten, nicht authentisierten Angreifer bei der Deserialisierung präparierter Eingaben beliebigen Programmcode auszuführen, wodurch dieser möglicherweise die Kontrolle über ein System übernehmen kann. Für Fedora 24, 25 und 26 stehen die Pakete 'jackson-databind-2.6.3-3.fc24', 'jackson-databind-2.7.6-3.fc25' und 'jackson-databind-2.7.6-3.fc26' als Sicherheitsupdates im Status 'testing' bereit.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK