FERRAMENTAS LINUX: Atualização de segurança do Debian para o jackson-databind, aviso Debian LTS: DLA-2638-1

domingo, 25 de abril de 2021

Atualização de segurança do Debian para o jackson-databind, aviso Debian LTS: DLA-2638-1

 


Confira !


Várias vulnerabilidades de segurança foram encontradas no Jackson Databind. CVE-2020-24616


- ------------------------------------------------- ----------------------

Debian LTS Advisory DLA-2638-1               debian-lts@lists.debian.org

https://www.debian.org/lts/security/ Utkarsh Gupta

25 de abril de 2021 https://wiki.debian.org/LTS

- ------------------------------------------------- ----------------------


Pacote: jackson-databind

Versão: 2.8.6-1 + deb9u9

CVE ID: CVE-2020-24616 CVE-2020-24750 CVE-2020-35490

                 CVE-2020-35491 CVE-2020-35728 CVE-2020-36179

                 CVE-2020-36180 CVE-2020-36181 CVE-2020-36182

                 CVE-2020-36183 CVE-2020-36184 CVE-2020-36185

                 CVE-2020-36186 CVE-2020-36187 CVE-2020-36188

                 CVE-2020-36189 CVE-2021-20190


Várias vulnerabilidades de segurança foram encontradas no Jackson Databind.


CVE-2020-24616


     FasterXML jackson-databind 2.x antes de 2.9.10.6 maltrata o

     interação entre dispositivos de serialização e digitação, relacionados

     para br.com.anteros.dbcp.AnterosDBCPDataSource (também conhecido como Anteros-DBCP).


CVE-2020-24750


    FasterXML jackson-databind 2.x antes de 2.9.10.6 maltrata o

    interação entre dispositivos de serialização e digitação, relacionados

    para com.pastdev.httpcomponents.configuration.JndiConfiguration.


CVE-2020-25649


    Uma falha foi encontrada no FasterXML Jackson Databind, onde não

    ter a expansão da entidade protegida adequadamente. Esta falha permite

    vulnerabilidade a ataques de entidade externa XML (XXE). O mais alto

    A ameaça desta vulnerabilidade é a integridade dos dados.


CVE-2020-35490


    FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o

    interação entre dispositivos de serialização e digitação, relacionados

    para org.apache.commons.dbcp2.datasources.PerUserPoolDataSource.


CVE-2020-35491


    FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o

    interação entre dispositivos de serialização e digitação, relacionados

    para org.apache.commons.dbcp2.datasources.SharedPoolDataSource.


CVE-2020-35728


    FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o

    interação entre dispositivos de serialização e digitação, relacionada a

    com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool

    (também conhecido como Xalan incorporado em org.glassfish.web / javax.servlet.jsp.jstl).


CVE-2020-36179


    FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o

    interação entre dispositivos de serialização e digitação, relacionados

    para oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS.


CVE-2020-36180


    FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o

    interação entre dispositivos de serialização e digitação, relacionados

    para org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS.


CVE-2020-36181


    FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o

    interação entre dispositivos de serialização e digitação, relacionados

    para org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS.


CVE-2020-36182


    FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o

    interação entre dispositivos de serialização e digitação, relacionados

    para org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS.


CVE-2020-36183


    FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o

    interação entre dispositivos de serialização e digitação, relacionados

    para org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool.


CVE-2020-36184


    FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o

    interação entre dispositivos de serialização e digitação, relacionada a

    org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource.


CVE-2020-36185


    FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o

    interação entre dispositivos de serialização e digitação, relacionada a

    org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource.


CVE-2020-36186


    FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o

    interação entre dispositivos de serialização e digitação, relacionada a

    org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource.


CVE-2020-36187


    FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o

    interação entre dispositivos de serialização e digitação, relacionada a

    org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource.


CVE-2020-36188


    FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o

    interação entre dispositivos de serialização e digitação, relacionada a

    com.newrelic.agent.deps.ch.qos.logback.core.db.JNDICS.


CVE-2020-36189


    FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o

    interação entre dispositivos de serialização e digitação, relacionada a

    com.newrelic.agent.deps.ch.qos.logback.core.db.DMCS.


CVE-2021-20190


    Uma falha foi encontrada no databind de jackson antes de 2.9.10.7. FasterXML

    manipula mal a interação entre os gadgets de serialização e

    digitando. A maior ameaça desta vulnerabilidade são os dados

    confidencialidade e integridade, bem como disponibilidade do sistema.


Para Debian 9 stretch, esses problemas foram corrigidos na versão

2.8.6-1 + deb9u9.


Recomendamos que você atualize seus pacotes jackson-databind.


Para obter o status de segurança detalhado do jackson-databind, consulte

sua página de rastreador de segurança em:

https://security-tracker.debian.org/tracker/jackson-databind


Mais informações sobre os avisos de segurança do Debian LTS, como se inscrever

essas atualizações para o seu sistema e as perguntas mais frequentes podem ser

encontrado em: https://wiki.debian.org/LTS






Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário