Bulletin d'alerte Debian

DLA-1831-1 jackson-databind -- Mise à jour de sécurité pour LTS

Date du rapport :
21 juin 2019
Paquets concernés :
jackson-databind
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 930750.
Dans le dictionnaire CVE du Mitre : CVE-2019-12384, CVE-2019-12814.
Plus de précisions :

D’autres problèmes de typage par polymorphisme ont été découverts dans jackson-databind. Quand le typage par défaut est activé (soit globalement, soit pour une propriété particulière) pour un point d’entrée JSON exposé extérieurement et que le service possède un jar JDOM 1.x ou 2.x ou logback-core dans le classpath, un attaquant peut envoyer un message JSON spécialement contrefait qui permet de lire des fichiers locaux arbitraires sur le serveur.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 2.4.2-2+deb8u7.

Nous vous recommandons de mettre à jour vos paquets jackson-databind.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.