Bulletin d'alerte Debian
DLA-2135-1 jackson-databind -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 6 mars 2020
- Paquets concernés :
- jackson-databind
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2020-9546, CVE-2020-9547, CVE-2020-9548.
- Plus de précisions :
-
Les CVE suivant ont été signalés pour le paquet source jackson-databind.
- CVE-2020-9546
jackson-databind 2.x avant 2.9.10.4 de FasterXML gère incorrectement l’interaction entre des gadgets de sérialisation et la saisie, relatifs à org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig (c'est-à-dire, shaded hikari-config).
- CVE-2020-9547
jackson-databind 2.x avant 2.9.10.4 de FasterXML gère incorrectement l’interaction entre des gadgets de sérialisation et la saisie, relatifs à com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig (c'est-à-dire, ibatis-sqlmap).
- CVE-2020-9548
jackson-databind 2.x avant 2.9.10.4 de FasterXML gère incorrectement l’interaction entre des gadgets de sérialisation et la saisie, relatifs à br.com.anteros.dbcp.AnterosDBCPConfig (c'est-à-dire, anteros-core).
Pour Debian 8
Jessie
, ces problèmes ont été corrigés dans la version 2.4.2-2+deb8u12.Nous vous recommandons de mettre à jour vos paquets jackson-databind.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2020-9546