Bulletin d'alerte Debian
DSA-5283-1 jackson-databind -- Mise à jour de sécurité
- Date du rapport :
- 17 novembre 2022
- Paquets concernés :
- jackson-databind
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 1007109.
Dans le dictionnaire CVE du Mitre : CVE-2020-36518, CVE-2022-42003, CVE-2022-42004. - Plus de précisions :
-
Plusieurs défauts ont été découverts dans jackson-databind, une bibliothèque JSON rapide et puissante pour Java.
- CVE-2020-36518
Une exception de dépassement de pile de Java et un déni de service à l'aide d'une grande profondeur d'objets imbriqués.
- CVE-2022-42003
Un épuisement de ressources dans jackson-databind de FasterXML peut survenir à cause de l'absence de vérification dans les désérialiseurs de valeur de primitive pour éviter l'imbrication profonde de tableau d'enveloppes lorsque la fonction UNWRAP_SINGLE_VALUE_ARRAYS est activée.
- CVE-2022-42004
Un épuisement de ressources dans jackson-databind de FasterXML peut survenir à cause de l'absence de vérification dans BeanDeserializerBase.deserializeFromArray pour éviter l'utilisation de tableaux profondément imbriqués. Une application n'est vulnérable qu'avec certains choix personnalisés pour la désérialisation.
Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 2.12.1-1+deb11u1.
Nous vous recommandons de mettre à jour vos paquets jackson-databind.
Pour disposer d'un état détaillé sur la sécurité de jackson-databind, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/jackson-databind.
- CVE-2020-36518