Bulletin d'alerte Debian

DSA-5283-1 jackson-databind -- Mise à jour de sécurité

Date du rapport :
17 novembre 2022
Paquets concernés :
jackson-databind
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 1007109.
Dans le dictionnaire CVE du Mitre : CVE-2020-36518, CVE-2022-42003, CVE-2022-42004.
Plus de précisions :

Plusieurs défauts ont été découverts dans jackson-databind, une bibliothèque JSON rapide et puissante pour Java.

  • CVE-2020-36518

    Une exception de dépassement de pile de Java et un déni de service à l'aide d'une grande profondeur d'objets imbriqués.

  • CVE-2022-42003

    Un épuisement de ressources dans jackson-databind de FasterXML peut survenir à cause de l'absence de vérification dans les désérialiseurs de valeur de primitive pour éviter l'imbrication profonde de tableau d'enveloppes lorsque la fonction UNWRAP_SINGLE_VALUE_ARRAYS est activée.

  • CVE-2022-42004

    Un épuisement de ressources dans jackson-databind de FasterXML peut survenir à cause de l'absence de vérification dans BeanDeserializerBase.deserializeFromArray pour éviter l'utilisation de tableaux profondément imbriqués. Une application n'est vulnérable qu'avec certains choix personnalisés pour la désérialisation.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 2.12.1-1+deb11u1.

Nous vous recommandons de mettre à jour vos paquets jackson-databind.

Pour disposer d'un état détaillé sur la sécurité de jackson-databind, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/jackson-databind.