Bulletin d'alerte Debian

DLA-3207-1 jackson-databind -- Mise à jour de sécurité pour LTS

Date du rapport :

27 novembre 2022

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 1007109.
Dans le dictionnaire CVE du Mitre : CVE-2020-36518, CVE-2022-42003, CVE-2022-42004.

Plus de précisions :

Plusieurs défauts ont été découverts dans jackson-databind, une bibliothèque JSON puissante et rapide pour Java.

CVE-2020-36518
Exception Java StackOverflow et déni de service à l'aide d'une grande profondeur d’objets imbriqués.
CVE-2022-42003
Dans FasterXML un épuisement de ressources de jackson-databind peut se produire à cause d’une absence de vérification dans les désérialiseurs de valeur de primitive pour éviter une imbrication profonde de tableau d’enveloppes quand la caractéristique UNWRAP_SINGLE_VALUE_ARRAYS est activée.
CVE-2022-42004
Dans FasterXML un épuisement de ressources de jackson-databind peut se produire à cause d’une absence de vérification dans BeanDeserializerBase.deserializeFromArray pour éviter une imbrication profonde de tableau. Une application est vulnérable seulement avec certains choix personnels pour la désérialisation.

Pour Debian 10 « Buster », ces problèmes ont été corrigés dans la version 2.9.8-3+deb10u4.

Nous vous recommandons de mettre à jour vos paquets jackson-databind.

Pour disposer d'un état détaillé sur la sécurité de jackson-databind, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/jackson-databind.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.