Bulletin d'alerte Debian

DLA-2135-1 jackson-databind -- Mise à jour de sécurité pour LTS

Date du rapport :
6 mars 2020
Paquets concernés :
jackson-databind
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-9546, CVE-2020-9547, CVE-2020-9548.
Plus de précisions :

Les CVE suivant ont été signalés pour le paquet source jackson-databind.

  • CVE-2020-9546

    jackson-databind 2.x avant 2.9.10.4 de FasterXML gère incorrectement l’interaction entre des gadgets de sérialisation et la saisie, relatifs à org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig (c'est-à-dire, shaded hikari-config).

  • CVE-2020-9547

    jackson-databind 2.x avant 2.9.10.4 de FasterXML gère incorrectement l’interaction entre des gadgets de sérialisation et la saisie, relatifs à com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig (c'est-à-dire, ibatis-sqlmap).

  • CVE-2020-9548

    jackson-databind 2.x avant 2.9.10.4 de FasterXML gère incorrectement l’interaction entre des gadgets de sérialisation et la saisie, relatifs à br.com.anteros.dbcp.AnterosDBCPConfig (c'est-à-dire, anteros-core).

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 2.4.2-2+deb8u12.

Nous vous recommandons de mettre à jour vos paquets jackson-databind.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.