Bulletin d'alerte Debian
DLA-2179-1 jackson-databind -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 18 avril 2020
- Paquets concernés :
- jackson-databind
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2020-10968, CVE-2020-10969, CVE-2020-11111, CVE-2020-11112, CVE-2020-11113, CVE-2020-11619, CVE-2020-11620.
- Plus de précisions :
-
Les CVE suivants ont été signalés à l’encontre du paquet source jackson-databind.
- CVE-2020-10968
FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant org.aoju.bus.proxy.provider.remoting.RmiProvider (c'est-à-dire, bus-proxy).
- CVE-2020-10969
FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant javax.swing.JEditorPane.
- CVE-2020-11111
FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l'interaction entre la séquence de sérialisation et la saisie concernant org.apache.activemq.* (c'est-à-dire, activemq-jms, activemq-core, activemq-pool et activemq-pool-jms).
- CVE-2020-11112
FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant org.apache.commons.proxy.provider.remoting.RmiProvider (c'est-à-dire, apache/commons-proxy).
- CVE-2020-11113
FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant org.apache.openjpa.ee.WASRegistryManagedRuntime (c'est-à-dire, openjpa).
- CVE-2020-11619
FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant org.springframework.aop.config.MethodLocatingFactoryBean (c'est-à-dire, spring-aop).
- CVE-2020-11620
FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant org.apache.commons.jelly.impl.Embedded (c'est-à-dire, commons-jelly).
Pour Debian 8
Jessie
, ces problèmes ont été corrigés dans la version 2.4.2-2+deb8u14.Nous vous recommandons de mettre à jour vos paquets jackson-databind.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2020-10968