FasterXML Jackson gefährdet: Mehrere Schwachstellen ermöglichen Denial of Service

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 19.02.2024 ein Update zu einer am 03.10.2022 bekanntgewordenen Sicherheitslücke für FasterXML Jackson veröffentlicht. Betroffen von der Sicherheitslücke sind die Betriebssysteme UNIX, Linux und Windows sowie die Produkte Debian Linux, IBM Maximo Asset Management, IBM DB2, Red Hat Enterprise Linux, F5 BIG-IP, SUSE Linux, IBM Tivoli Netcool/OMNIbus, Red Hat OpenShift, IBM MQ, IBM QRadar SIEM, FasterXML Jackson, SOS GmbH JobScheduler, IBM Spectrum Protect, IBM Business Automation Workflow, IBM Content Manager, IBM FileNet Content Manager, Hitachi Ops Center und Dell NetWorker.

Die neuesten Hersteller-Empfehlungen bezüglich Updates, Workarounds und Sicherheitspatches für diese Sicherheitslücke finden Sie hier: Red Hat Security Advisory RHSA-2023:2135 (Stand: 19.02.2024). Weitere nützliche Quellen werden weiter unten in diesem Artikel aufgeführt.

Sicherheitshinweis für FasterXML Jackson - Risiko: mittel

Risikostufe: 3 (mittel)
CVSS Base Score: 7,5
CVSS Temporal Score: 6,5
Remoteangriff: Ja

Zur Einschätzung des Schweregrads von Schwachstellen in Computersystemen wird das Common Vulnerability Scoring System (CVSS) angewandt. Der CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken auf Basis verschiedener Metriken miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Einleitung von Gegenmaßnahmen zu erstellen. Für die Schweregrade einer Schwachstelle werden die Attribute "keine", "niedrig", "mittel", "hoch" und "kritisch" verwendet. Der Base Score bewertet die Voraussetzungen für einen Angriff (u.a. Authentifizierung, Komplexität, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Temporal Score fließen über die Zeit veränderbare Rahmenbedingungen in die Bewertung ein. Der Schweregrad der aktuellen Schwachstelle wird nach dem CVSS mit einem Base Score von 7,5 als "mittel" eingeschätzt.

FasterXML Jackson Bug: Mehrere Schwachstellen ermöglichen Denial of Service

Jackson ist eine quelloffene Bibliothek zur JSON-Verarbeitung in Java.

Ein Angreifer kann mehrere Schwachstellen in FasterXML Jackson ausnutzen, um einen Denial of Service Angriff durchzuführen.

Die Verwundbarkeit wird mit den eindeutigen CVE-Identifikationsnummern (Common Vulnerabilities and Exposures) CVE-2022-42003 und CVE-2022-42004 gehandelt.

Von der Sicherheitslücke betroffene Systeme im Überblick

Betriebssysteme
UNIX, Linux, Windows

Produkte
Debian Linux (cpe:/o:debian:debian_linux)
IBM Maximo Asset Management 7.6.1 (cpe:/a:ibm:maximo_asset_management)
IBM DB2 (cpe:/a:ibm:db2)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
F5 BIG-IP (cpe:/a:f5:big-ip)
SUSE Linux (cpe:/o:suse:suse_linux)
IBM Tivoli Netcool/OMNIbus (cpe:/a:ibm:tivoli_netcool%2fomnibus)
Red Hat OpenShift (cpe:/a:redhat:openshift)
IBM MQ (cpe:/a:ibm:mq)
IBM QRadar SIEM 7.5 (cpe:/a:ibm:qradar_siem)
FasterXML Jackson < 2.14.0-rc1 (cpe:/a:fasterxml:jackson)
FasterXML Jackson < 2.13.4 (cpe:/a:fasterxml:jackson)
SOS GmbH JobScheduler < 2.5.0 (cpe:/a:sos_gmbh:jobscheduler)
IBM Spectrum Protect for Virtual Environments (cpe:/a:ibm:spectrum_protect)
IBM Spectrum Protect for Space Management Client (cpe:/a:ibm:spectrum_protect)
IBM Business Automation Workflow 22.0.2 (cpe:/a:ibm:business_automation_workflow)
IBM Content Manager 8.7 (cpe:/a:ibm:content_manager)
IBM FileNet Content Manager (cpe:/a:ibm:filenet_content_manager)
Hitachi Ops Center < Common Services 10.9.3-00 (cpe:/a:hitachi:ops_center)
Dell NetWorker < 19.10 (cpe:/a:dell:networker)

Allgemeine Empfehlungen zum Umgang mit IT-Schwachstellen

1. Anwender der betroffenen Anwendungen sollten diese auf dem aktuellsten Stand halten. Hersteller sind bei Bekanntwerden von Sicherheitslücken dazu angehalten, diese schnellstmöglich durch Entwicklung eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie diese zeitnah.
2. Konsultieren Sie zu Informationszwecken die im nächsten Abschnitt aufgeführten Quellen. Häufig enthalten diese weiterführende Informationen zur aktuellsten Version der betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich bei weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, wann das herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle befinden sich weiterführende Links mit Informationen über Bug-Reports, Security-Fixes und Workarounds.

Red Hat Security Advisory RHSA-2023:2135 vom 2024-02-19 (19.02.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:2135

Dell Knowledge Base Article (25.01.2024)
Weitere Informationen finden Sie unter: https://www.dell.com/support/kbdoc/en-us/000221474/dsa-2024-059-security-update-for-dell-networker-multiple-components-vulnerabilities

Hitachi Vulnerability Information HITACHI-SEC-2023-143 vom 2023-10-03 (03.10.2023)
Weitere Informationen finden Sie unter: https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2023-143/index.html

IBM Security Bulletin 7010099 vom 2023-07-06 (06.07.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7010099

IBM Security Bulletin 7008449 vom 2023-06-29 (29.06.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7008449

Red Hat Security Advisory RHSA-2023:3641 vom 2023-06-15 (15.06.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:3641

F5 Security Advisory K000132725 vom 2023-06-01 (01.06.2023)
Weitere Informationen finden Sie unter: https://my.f5.com/manage/s/article/K000132725

IBM Security Bulletin 6987827 vom 2023-05-02 (02.05.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6987827

IBM Security Bulletin 6985689 vom 2023-04-24 (24.04.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6985689

Red Hat Security Advisory RHSA-2023:1006 vom 2023-03-09 (08.03.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:1006

Red Hat Security Advisory RHSA-2023:1064 vom 2023-03-06 (06.03.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:1064

IBM Security Bulletin 6958693 vom 2023-02-28 (27.02.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6958693

Red Hat Security Advisory RHSA-2023:0713 vom 2023-02-09 (09.02.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:0713

IBM Security Bulletin 6952181 vom 2023-02-02 (02.02.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6952181

Red Hat Security Advisory RHSA-2023:0471 vom 2023-01-26 (26.01.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:0471

IBM Security Bulletin 6857047 vom 2023-01-23 (23.01.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6857047

IBM Security Bulletin 6856661 vom 2023-01-20 (19.01.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6856661

IBM Security Bulletin 6856659 vom 2023-01-20 (19.01.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6856659

Red Hat Security Advisory RHSA-2023:0264 vom 2023-01-19 (19.01.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:0264

Red Hat Security Advisory RHSA-2023:0189 vom 2023-01-17 (17.01.2023)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:0189

IBM Security Bulletin 6827869 vom 2022-12-23 (22.12.2022)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6842075

IBM Security Bulletin 6833196 vom 2022-12-23 (22.12.2022)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6846533

IBM Security Bulletin 6846525 vom 2022-12-20 (20.12.2022)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6846525

Red Hat Security Advisory RHSA-2022:9032 vom 2022-12-15 (15.12.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:9032

Red Hat Security Advisory RHSA-2022:9023 vom 2022-12-14 (14.12.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:9023

Red Hat Security Advisory RHSA-2022:8889 vom 2022-12-08 (08.12.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:8889

Red Hat Security Advisory RHSA-2022:8781 vom 2022-12-08 (07.12.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:8781

Red Hat Security Advisory RHSA-2022:8876 vom 2022-12-07 (07.12.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:8876

Debian Security Advisory DLA-3207 vom 2022-11-27 (27.11.2022)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2022/11/msg00035.html

Debian Security Advisory DSA-5283 vom 2022-11-17 (17.11.2022)
Weitere Informationen finden Sie unter: https://www.debian.org/security/2022/dsa-5283

Red Hat Security Advisory RHSA-2022:7435 vom 2022-11-16 (16.11.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:7435

SUSE Security Update SUSE-SU-2022:3995-1 vom 2022-11-15 (15.11.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-November/012934.html

SOS GmbH Vulnerability Release 2.5.0 vom 2022-10-20 (19.10.2022)
Weitere Informationen finden Sie unter: https://kb.sos-berlin.com/display/PKB/Vulnerability+Release+2.5.0

NIST Database vom 2022-10-03 (03.10.2022)
Weitere Informationen finden Sie unter: https://nvd.nist.gov/vuln/detail/CVE-2022-42004

NIST Database vom 2022-10-03 (03.10.2022)
Weitere Informationen finden Sie unter: https://nvd.nist.gov/vuln/detail/CVE-2022-42003

Versionshistorie dieser Sicherheitswarnung

Dies ist die 30. Version des vorliegenden IT-Sicherheitshinweises für FasterXML Jackson. Bei Bekanntgabe weiterer Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie anhand der folgenden Versionshistorie nachvollziehen.

03.10.2022 - Initiale Fassung
19.10.2022 - Neue Updates aufgenommen
15.11.2022 - Neue Updates von SUSE aufgenommen
16.11.2022 - Neue Updates von Red Hat aufgenommen
17.11.2022 - Neue Updates von Debian aufgenommen
27.11.2022 - Neue Updates von Debian aufgenommen
07.12.2022 - Neue Updates von Red Hat aufgenommen
08.12.2022 - Neue Updates von Red Hat aufgenommen
14.12.2022 - Neue Updates von Red Hat aufgenommen
15.12.2022 - Neue Updates von Red Hat aufgenommen
20.12.2022 - Neue Updates von IBM aufgenommen
22.12.2022 - Neue Updates von IBM aufgenommen
17.01.2023 - Neue Updates von Red Hat aufgenommen
19.01.2023 - Neue Updates von Red Hat aufgenommen
23.01.2023 - Neue Updates von IBM aufgenommen
26.01.2023 - Neue Updates von Red Hat aufgenommen
02.02.2023 - Neue Updates von IBM und IBM-APAR aufgenommen
09.02.2023 - Neue Updates von Red Hat aufgenommen
27.02.2023 - Neue Updates von IBM aufgenommen
06.03.2023 - Neue Updates von Red Hat aufgenommen
08.03.2023 - Neue Updates von Red Hat aufgenommen
24.04.2023 - Neue Updates von IBM aufgenommen
02.05.2023 - Neue Updates von IBM aufgenommen
01.06.2023 - Neue Updates von F5 aufgenommen
15.06.2023 - Neue Updates von Red Hat aufgenommen
29.06.2023 - Neue Updates von IBM aufgenommen
06.07.2023 - Neue Updates von IBM aufgenommen
03.10.2023 - Neue Updates von HITACHI aufgenommen
25.01.2024 - Neue Updates von Dell aufgenommen
19.02.2024 - Neue Updates von Red Hat aufgenommen

+++ Redaktioneller Hinweis: Dieser Text wurde auf Basis aktueller BSI-Daten generiert und wird je nach Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter hinweis@news.de entgegen. +++

Folgen Sie News.de schon bei Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Draht zur Redaktion.

Bearbeitet durch kns

roj/news.de