Les CVE suivant ont été signalés pour le paquet source jackson-databind.
jackson-databind 2.x avant 2.9.10.4 de FasterXML gère incorrectement l’interaction entre des gadgets de sérialisation et la saisie, relatifs à org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig (c'est-à-dire, shaded hikari-config).
jackson-databind 2.x avant 2.9.10.4 de FasterXML gère incorrectement l’interaction entre des gadgets de sérialisation et la saisie, relatifs à com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig (c'est-à-dire, ibatis-sqlmap).
jackson-databind 2.x avant 2.9.10.4 de FasterXML gère incorrectement l’interaction entre des gadgets de sérialisation et la saisie, relatifs à br.com.anteros.dbcp.AnterosDBCPConfig (c'est-à-dire, anteros-core).
Pour Debian 8 Jessie
, ces problèmes ont été corrigés dans
la version 2.4.2-2+deb8u12.
Nous vous recommandons de mettre à jour vos paquets jackson-databind.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.