LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1798-1 jackson-databind

Bulletin d'alerte Debian

DLA-1798-1 jackson-databind -- Mise à jour de sécurité pour LTS

Date du rapport :

21 mai 2019

Paquets concernés :

jackson-databind

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 929177.
Dans le dictionnaire CVE du Mitre : CVE-2019-12086.

Plus de précisions :

Un problème de « Polymorphic Typing » a été découvert dans jackson-databind, une bibliothèque JSON pour Java. Lorsque Typing par défaut est activé (soit globalement ou pour une propriété spécifique) pour un point d’entrée JSON exposé externellement, le service possédait un fichier jar mysql-connector-java (8.0.14 ou précédents) dans le classpath, et qu’un attaquant pouvait héberger un serveur MySQL contrefait atteignable par la victime, un attaquant pouvait envoyer un message JSON contrefait pouvant lui permettre de lire des fichiers locaux arbitraires sur le serveur. Cela arrivait à cause d’une validation manquante de com.mysql.cj.jdbc.admin.MiniAdmin.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 2.4.2-2+deb8u6.

Nous vous recommandons de mettre à jour vos paquets jackson-databind.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.