LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2135-1 jackson-databind

Bulletin d'alerte Debian

DLA-2135-1 jackson-databind -- Mise à jour de sécurité pour LTS

Date du rapport :

6 mars 2020

Paquets concernés :

jackson-databind

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-9546, CVE-2020-9547, CVE-2020-9548.

Plus de précisions :

Les CVE suivant ont été signalés pour le paquet source jackson-databind.

• CVE-2020-9546

  jackson-databind 2.x avant 2.9.10.4 de FasterXML gère incorrectement l’interaction entre des gadgets de sérialisation et la saisie, relatifs à org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig (c'est-à-dire, shaded hikari-config).

• CVE-2020-9547

  jackson-databind 2.x avant 2.9.10.4 de FasterXML gère incorrectement l’interaction entre des gadgets de sérialisation et la saisie, relatifs à com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig (c'est-à-dire, ibatis-sqlmap).

• CVE-2020-9548

  jackson-databind 2.x avant 2.9.10.4 de FasterXML gère incorrectement l’interaction entre des gadgets de sérialisation et la saisie, relatifs à br.com.anteros.dbcp.AnterosDBCPConfig (c'est-à-dire, anteros-core).

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 2.4.2-2+deb8u12.

Nous vous recommandons de mettre à jour vos paquets jackson-databind.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.