LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2179-1 jackson-databind

Bulletin d'alerte Debian

DLA-2179-1 jackson-databind -- Mise à jour de sécurité pour LTS

Date du rapport :

18 avril 2020

Paquets concernés :

jackson-databind

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-10968, CVE-2020-10969, CVE-2020-11111, CVE-2020-11112, CVE-2020-11113, CVE-2020-11619, CVE-2020-11620.

Plus de précisions :

Les CVE suivants ont été signalés à l’encontre du paquet source jackson-databind.

• CVE-2020-10968

  FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant org.aoju.bus.proxy.provider.remoting.RmiProvider (c'est-à-dire, bus-proxy).

• CVE-2020-10969

  FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant javax.swing.JEditorPane.

• CVE-2020-11111

  FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l'interaction entre la séquence de sérialisation et la saisie concernant org.apache.activemq.* (c'est-à-dire, activemq-jms, activemq-core, activemq-pool et activemq-pool-jms).

• CVE-2020-11112

  FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant org.apache.commons.proxy.provider.remoting.RmiProvider (c'est-à-dire, apache/commons-proxy).

• CVE-2020-11113

  FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant org.apache.openjpa.ee.WASRegistryManagedRuntime (c'est-à-dire, openjpa).

• CVE-2020-11619

  FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant org.springframework.aop.config.MethodLocatingFactoryBean (c'est-à-dire, spring-aop).

• CVE-2020-11620

  FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant org.apache.commons.jelly.impl.Embedded (c'est-à-dire, commons-jelly).

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 2.4.2-2+deb8u14.

Nous vous recommandons de mettre à jour vos paquets jackson-databind.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.