Bulletin d'alerte Debian

DLA-2179-1 jackson-databind -- Mise à jour de sécurité pour LTS

Date du rapport :
18 avril 2020
Paquets concernés :
jackson-databind
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-10968, CVE-2020-10969, CVE-2020-11111, CVE-2020-11112, CVE-2020-11113, CVE-2020-11619, CVE-2020-11620.
Plus de précisions :

Les CVE suivants ont été signalés à l’encontre du paquet source jackson-databind.

  • CVE-2020-10968

    FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant org.aoju.bus.proxy.provider.remoting.RmiProvider (c'est-à-dire, bus-proxy).

  • CVE-2020-10969

    FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant javax.swing.JEditorPane.

  • CVE-2020-11111

    FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l'interaction entre la séquence de sérialisation et la saisie concernant org.apache.activemq.* (c'est-à-dire, activemq-jms, activemq-core, activemq-pool et activemq-pool-jms).

  • CVE-2020-11112

    FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant org.apache.commons.proxy.provider.remoting.RmiProvider (c'est-à-dire, apache/commons-proxy).

  • CVE-2020-11113

    FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant org.apache.openjpa.ee.WASRegistryManagedRuntime (c'est-à-dire, openjpa).

  • CVE-2020-11619

    FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant org.springframework.aop.config.MethodLocatingFactoryBean (c'est-à-dire, spring-aop).

  • CVE-2020-11620

    FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant org.apache.commons.jelly.impl.Embedded (c'est-à-dire, commons-jelly).

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 2.4.2-2+deb8u14.

Nous vous recommandons de mettre à jour vos paquets jackson-databind.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.