Bulletin d'alerte Debian

DLA-2153-1 jackson-databind -- Mise à jour de sécurité pour LTS

Date du rapport :
22 mars 2020
Paquets concernés :
jackson-databind
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-10672, CVE-2020-10673.
Plus de précisions :

Les CVE suivants ont été signalés envers jackson-databind.

  • CVE-2020-10672

    jackson-databind 2.x avant 2.9.10.4 de FasterXML gère incorrectement l’interaction entre les gadgets de sérialisation et la saisie, associée à org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory (c'est-à-dire aries.transaction.jms).

  • CVE-2020-10673

    jackson-databind 2.x avant 2.9.10.4 de FasterXML gère incorrectement l’interaction entre les gadgets de sérialisation et la saisie, associée à com.caucho.config.types.ResourceRef (c'est-à-dire caucho-quercus).

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 2.4.2-2+deb8u13.

Nous vous recommandons de mettre à jour vos paquets jackson-databind.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.