LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2021 / Informations sur la sécurité -- DLA-2638-1 jackson-databind

Bulletin d'alerte Debian

DLA-2638-1 jackson-databind -- Mise à jour de sécurité pour LTS

Date du rapport :

25 avril 2021

Paquets concernés :

jackson-databind

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-24616, CVE-2020-24750, CVE-2020-35490, CVE-2020-35491, CVE-2020-35728, CVE-2020-36179, CVE-2020-36180, CVE-2020-36181, CVE-2020-36182, CVE-2020-36183, CVE-2020-36184, CVE-2020-36185, CVE-2020-36186, CVE-2020-36187, CVE-2020-36188, CVE-2020-36189, CVE-2021-20190.

Plus de précisions :

Plusieurs vulnérabilité de sécurité ont été trouvées dans Jackson Databind.

• CVE-2020-24616

  FasterXML jackson-databind, versions 2.x avant 2.9.10.6, gère incorrectement l’interaction entre les gadgets de sérialisation et la saisie, relative à com.anteros.dbcp.AnterosDBCPDataSource (c’est-à-dire, Anteros-DBCP).

• CVE-2020-24750

  FasterXML jackson-databind, versions 2.x avant 2.9.10.6, gère incorrectement l’interaction entre les gadgets de sérialisation et la saisie, relative à com.pastdev.httpcomponents.configuration.JndiConfiguration.

• CVE-2020-25649

  Un défaut a été découvert dans FasterXML Jackson Databind, dans lequel une expansion d’entité n’était pas sécurisée correctement. Ce défaut crée une vulnérabilité pour une attaque par entité externe XML (XXE). Le principal danger créé par cette vulnérabilité concerne l’intégrité des données.

• CVE-2020-35490

  FasterXML jackson-databind, versions 2.x avant 2.9.10.8, gère incorrectement l’interaction entre les gadgets de sérialisation et la saisie, relative à org.apache.commons.dbcp2.datasources.PerUserPoolDataSource.

• CVE-2020-35491

  FasterXML jackson-databind, versions 2.x avant 2.9.10.8, gère incorrectement l’interaction entre les gadgets de sérialisation et la saisie, relative à org.apache.commons.dbcp2.datasources.SharedPoolDataSource.

• CVE-2020-35728

  FasterXML jackson-databind, versions 2.x avant 2.9.10.8, gère incorrectement l’interaction entre les gadgets de sérialisation et la saisie, relative à com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool (c’est-à-dire, Xalan embarqué dans org.glassfish.web/javax.servlet.jsp.jstl).

• CVE-2020-36179

  FasterXML jackson-databind, versions 2.x avant 2.9.10.8, gère incorrectement l’interaction entre les gadgets de sérialisation et la saisie, relative à oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS.

• CVE-2020-36180

  FasterXML jackson-databind, versions 2.x avant 2.9.10.8, gère incorrectement l’interaction entre les gadgets de sérialisation et la saisie, relative à org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS.

• CVE-2020-36181

  FasterXML jackson-databind, versions 2.x avant 2.9.10.8, gère incorrectement l’interaction entre les gadgets de sérialisation et la saisie, relative à org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS.

• CVE-2020-36182

  FasterXML jackson-databind, versions 2.x avant 2.9.10.8, gère incorrectement l’interaction entre les gadgets de sérialisation et la saisie, relative à org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS.

• CVE-2020-36183

  FasterXML jackson-databind, versions 2.x avant 2.9.10.8, gère incorrectement l’interaction entre les gadgets de sérialisation et la saisie, relative à org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool.

• CVE-2020-36184

  FasterXML jackson-databind, versions 2.x avant 2.9.10.8, gère incorrectement l’interaction entre les gadgets de sérialisation et la saisie, relative à org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource.

• CVE-2020-36185

  FasterXML jackson-databind, versions 2.x avant 2.9.10.8, gère incorrectement l’interaction entre les gadgets de sérialisation et la saisie, relative à org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource.

• CVE-2020-36186

  FasterXML jackson-databind, versions 2.x avant 2.9.10.8, gère incorrectement l’interaction entre les gadgets de sérialisation et la saisie, relative à org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource.

• CVE-2020-36187

  FasterXML jackson-databind, versions 2.x avant 2.9.10.8, gère incorrectement l’interaction entre les gadgets de sérialisation et la saisie, relative à org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource.

• CVE-2020-36188

  FasterXML jackson-databind, versions 2.x avant 2.9.10.8, gère incorrectement l’interaction entre les gadgets de sérialisation et la saisie, relative à org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource.

• CVE-2020-36189

  FasterXML jackson-databind, versions 2.x avant 2.9.10.8, gère incorrectement l’interaction entre les gadgets de sérialisation et la saisie, relative à com.newrelic.agent.deps.ch.qos.logback.core.db.DMCS.

• CVE-2021-20190

  Un défaut a été découvert dans jackson-databind avant la version 2.9.10.7. FasterXML gère incorrectement l’interaction entre les gadgets de sérialisation et la saisie. Le principal danger créé par cette vulnérabilité concerne la confidentialité et l’intégrité des données ainsi que la disponibilité du système.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 2.8.6-1+deb9u9.

Nous vous recommandons de mettre à jour vos paquets jackson-databind.

Pour disposer d'un état détaillé sur la sécurité de jackson-databind, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/jackson-databind.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.