Les CVE suivants ont été signalés à l’encontre du paquet source jackson-databind.
FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant org.aoju.bus.proxy.provider.remoting.RmiProvider (c'est-à-dire, bus-proxy).
FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant javax.swing.JEditorPane.
FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l'interaction entre la séquence de sérialisation et la saisie concernant org.apache.activemq.* (c'est-à-dire, activemq-jms, activemq-core, activemq-pool et activemq-pool-jms).
FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant org.apache.commons.proxy.provider.remoting.RmiProvider (c'est-à-dire, apache/commons-proxy).
FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant org.apache.openjpa.ee.WASRegistryManagedRuntime (c'est-à-dire, openjpa).
FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant org.springframework.aop.config.MethodLocatingFactoryBean (c'est-à-dire, spring-aop).
FasterXML jackson-databind 2.x avant la version 2.9.10.4 gère incorrectement l’interaction entre la séquence de sérialisation et la saisie concernant org.apache.commons.jelly.impl.Embedded (c'est-à-dire, commons-jelly).
Pour Debian 8 Jessie
, ces problèmes ont été corrigés dans
la version 2.4.2-2+deb8u14.
Nous vous recommandons de mettre à jour vos paquets jackson-databind.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.