Wie das BSI meldet, hat die IT-Sicherheitswarnung, welche eine vorliegende Schwachstelle für FasterXML Jackson betrifft, ein Update erhalten. Was betroffene Anwender beachten sollten, erfahren Sie hier.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 09.03.2023 ein Update zu einer am 04.10.2022 bekanntgewordenen Sicherheitslücke für FasterXML Jackson veröffentlicht. Betroffen von der Sicherheitslücke sind die Betriebssysteme UNIX, Linux und Windows sowie die Produkte Debian Linux, Red Hat Enterprise Linux, SUSE Linux, IBM Tivoli Netcool/OMNIbus, Red Hat OpenShift, IBM MQ, FasterXML Jackson, SOS GmbH JobScheduler, IBM Spectrum Protect, IBM Business Automation Workflow, IBM Content Manager und IBM FileNet Content Manager.
Die neuesten Hersteller-Empfehlungen bezüglich Updates, Workarounds und Sicherheitspatches für diese Sicherheitslücke finden Sie hier: Red Hat Security Advisory RHSA-2023:1006 (Stand: 09.03.2023). Weitere nützliche Links werden weiter unten in diesem Artikel aufgeführt.
Zur Einschätzung der Verwundbarkeit von Computersystemen wird das Common Vulnerability Scoring System (CVSS) angewandt. Der CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken auf Basis verschiedener Kriterien miteinander zu vergleichen, um Gegenmaßnahmen besser priorisieren zu können. Für die Schweregrade einer Schwachstelle werden die Attribute "keine", "niedrig", "mittel", "hoch" und "kritisch" verwendet. Der Base Score bewertet die Voraussetzungen für einen Angriff (u.a. Authentifizierung, Komplexität, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Temporal Score fließen über die Zeit veränderbare Rahmenbedingungen in die Bewertung ein. Die Gefährdung der aktuellen Schwachstelle wird nach dem CVSS mit einem Base Score von 7,5 als "mittel" eingeschätzt.
Jackson ist eine quelloffene Bibliothek zur JSON-Verarbeitung in Java.
Ein Angreifer kann mehrere Schwachstellen in FasterXML Jackson ausnutzen, um einen Denial of Service Angriff durchzuführen.
Die Verwundbarkeit wird mit den eindeutigen CVE-Seriennummern (Common Vulnerabilities and Exposures) CVE-2022-42003 und CVE-2022-42004 gehandelt.
Betriebssysteme
UNIX, Linux, Windows
Produkte
Debian Linux (cpe:/o:debian:debian_linux)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
IBM Tivoli Netcool/OMNIbus (cpe:/a:ibm:tivoli_netcool%2fomnibus)
Red Hat OpenShift (cpe:/a:redhat:openshift)
IBM MQ (cpe:/a:ibm:mq)
FasterXML Jackson < 2.14.0-rc1 (cpe:/a:fasterxml:jackson)
FasterXML Jackson < 2.13.4 (cpe:/a:fasterxml:jackson)
SOS GmbH JobScheduler < 2.5.0 (cpe:/a:sos_gmbh:jobscheduler)
IBM Spectrum Protect for Virtual Environments (cpe:/a:ibm:spectrum_protect)
IBM Spectrum Protect for Space Management Client (cpe:/a:ibm:spectrum_protect)
IBM Business Automation Workflow 22.0.2 (cpe:/a:ibm:business_automation_workflow)
IBM Content Manager 8.7 (cpe:/a:ibm:content_manager)
IBM FileNet Content Manager (cpe:/a:ibm:filenet_content_manager)
An dieser Stelle befinden sich weiterführende Links mit Informationen über Bug-Reports, Security-Fixes und Workarounds.
Dies ist die 21. Version des vorliegenden IT-Sicherheitshinweises für FasterXML Jackson. Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.
04.10.2022 - Initiale Fassung
20.10.2022 - Neue Updates aufgenommen
16.11.2022 - Neue Updates von SUSE aufgenommen
17.11.2022 - Neue Updates von Red Hat aufgenommen
18.11.2022 - Neue Updates von Debian aufgenommen
28.11.2022 - Neue Updates von Debian aufgenommen
08.12.2022 - Neue Updates von Red Hat aufgenommen
09.12.2022 - Neue Updates von Red Hat aufgenommen
15.12.2022 - Neue Updates von Red Hat aufgenommen
16.12.2022 - Neue Updates von Red Hat aufgenommen
21.12.2022 - Neue Updates von IBM aufgenommen
23.12.2022 - Neue Updates von IBM aufgenommen
18.01.2023 - Neue Updates von Red Hat aufgenommen
20.01.2023 - Neue Updates von Red Hat aufgenommen
24.01.2023 - Neue Updates von IBM aufgenommen
27.01.2023 - Neue Updates von Red Hat aufgenommen
03.02.2023 - Neue Updates von IBM und IBM-APAR aufgenommen
10.02.2023 - Neue Updates von Red Hat aufgenommen
28.02.2023 - Neue Updates von IBM aufgenommen
07.03.2023 - Neue Updates von Red Hat aufgenommen
09.03.2023 - Neue Updates von Red Hat aufgenommen
/cloudfront-us-east-1.images.arcpublishing.com/tgam/5BNFJIP44VGB7C7T4OFSLKLDRA.jpg "Familiar tropes make a good heist book irresistible")
