/
Jackson core vulnerability (GHSA-72hv-8253-57qq)

Jackson core vulnerability (GHSA-72hv-8253-57qq)

Die folgende Sicherheitslücke wurde von Dependency-Checks in unseren Produkten gefunden:

Betroffene Produkte

 

jadice web toolkit

jadice web viewer

jadice viewer (Swing)

Output Organizer

Dossier Organizer

jadice server 5

jadice flow

 

jadice web toolkit

jadice web viewer

jadice viewer (Swing)

Output Organizer

Dossier Organizer

jadice server 5

jadice flow

Betroffen

  • <6.80.11

  • <5.13.2.37

Ja
< 0.11.6

 

Ja
>= 2.10.3
< 2.19.6

Ja
>= 1.21.4
< 2.2.8

Ja

<= 5.16.5.0
<= 5.15.4.2

Ja

Bundles:

  • Email Conversion: 0.36.0

  • Web Toolkit Addon: 1.15.0

  • Image Conversion: 1.13.0

  • Document Conversion: 1.14.0

  • Anno Migrator: 1.11.0

  • Archive Migrator: 0.12.0

  • Document Enhancer: 0.20.0

Technologiepakete:

  • tesseract (ocr): 1.29.4

  • pdf persmissions: 1.13.2

  • virus scan: 0.10.4

  • html conversion: 1.14.6

  • decompress: 1.15.6

  • ms word: 0.16.0

  • ms excel: 0.16.0

  • ms powerpoint: 0.16.0

Behoben

  • >= 6.80.11

  • >= 5.13.2.37

>= 0.11.6

 

>= 2.20.2

>= 2.3.2

>= 5.16.5.1
>= 5.15.4.3

 

 

Herkunft

Die CVEs kommt durch eine direkt Dependency seitens jadice web toolkit auf jackson-databind ins Produkt. Ebenso in jadice server und jadice flow. In den beiden Produkten kommt die CVE auch über hazelcast ins Produkt.

Auswirkungen

Ein Angreifer kann durch das Senden eines speziell präparierten JSON-Dokuments mit extrem langen Zahlen an Anwendungen, die den asynchronen Parser von Jackson Core verwenden (z. B. in Spring WebFlux), eine unkontrollierte Speicher- und CPU-Auslastung verursachen und so einen Denial-of-Service (DoS) auslösen.

Bewertung

not affected

Asynchrones JSON-Parsing wird nicht verwendet.

Wir arbeiten dennoch an Releases, welches eine aktuelle Version der jackson-Dependency enthält, in welcher der CVE gefixt wurde.

Abhilfe

  • Update auf eine bereinigte Version. Die entsprechende Versionsnummer kann aus der Tabelle oben entnommen werden

  • Die Version der Dependency selbst im Block dependencyManagement der POM überschreiben

  • jadice flow:
    Wir haben in den Produkten die jackson-core Version erhöht bzw. mit der fixed Version überschrieben. Über das maven shade plugin kommt die CVE jedoch weiterhin über com.hazelcast:hazelcast Version 5.6.0 bzw. 5.5.0 ins Produkt. Sobald eine fixed Version von hazelcast zur Verfügung steht, werden wir die Abhängigkeit updaten.
    In der Zwischenzeit empfehlen wir ein Update auf die folgenden Versionen:

    • Bundles:

      • Email Conversion: 0.36.4

      • Web Toolkit Addon: 1.15.4

      • Image Conversion: 1.13.4

      • Document Conversion: 1.14.4

      • Anno Migrator: 1.11.4

      • Archive Migrator: 0.12.4

      • Document Enhancer: 0.20.4

    • Technologiepakete:

      • tesseract (ocr): 1.29.7

      • pdf persmissions: 1.13.4

      • virus scan: 0.10.7

      • html conversion: 1.14.9

      • decompress: 1.15.7

      • ms word: 0.18.3

      • ms excel: 0.18.3

      • ms powerpoint: 0.18.3

Quellen