Confira !
Várias vulnerabilidades de segurança foram encontradas no Jackson Databind. CVE-2020-24616
- ------------------------------------------------- ----------------------
Debian LTS Advisory DLA-2638-1 debian-lts@lists.debian.org
https://www.debian.org/lts/security/ Utkarsh Gupta
25 de abril de 2021 https://wiki.debian.org/LTS
- ------------------------------------------------- ----------------------
Pacote: jackson-databind
Versão: 2.8.6-1 + deb9u9
CVE ID: CVE-2020-24616 CVE-2020-24750 CVE-2020-35490
CVE-2020-35491 CVE-2020-35728 CVE-2020-36179
CVE-2020-36180 CVE-2020-36181 CVE-2020-36182
CVE-2020-36183 CVE-2020-36184 CVE-2020-36185
CVE-2020-36186 CVE-2020-36187 CVE-2020-36188
CVE-2020-36189 CVE-2021-20190
Várias vulnerabilidades de segurança foram encontradas no Jackson Databind.
CVE-2020-24616
FasterXML jackson-databind 2.x antes de 2.9.10.6 maltrata o
interação entre dispositivos de serialização e digitação, relacionados
para br.com.anteros.dbcp.AnterosDBCPDataSource (também conhecido como Anteros-DBCP).
CVE-2020-24750
FasterXML jackson-databind 2.x antes de 2.9.10.6 maltrata o
interação entre dispositivos de serialização e digitação, relacionados
para com.pastdev.httpcomponents.configuration.JndiConfiguration.
CVE-2020-25649
Uma falha foi encontrada no FasterXML Jackson Databind, onde não
ter a expansão da entidade protegida adequadamente. Esta falha permite
vulnerabilidade a ataques de entidade externa XML (XXE). O mais alto
A ameaça desta vulnerabilidade é a integridade dos dados.
CVE-2020-35490
FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o
interação entre dispositivos de serialização e digitação, relacionados
para org.apache.commons.dbcp2.datasources.PerUserPoolDataSource.
CVE-2020-35491
FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o
interação entre dispositivos de serialização e digitação, relacionados
para org.apache.commons.dbcp2.datasources.SharedPoolDataSource.
CVE-2020-35728
FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o
interação entre dispositivos de serialização e digitação, relacionada a
com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool
(também conhecido como Xalan incorporado em org.glassfish.web / javax.servlet.jsp.jstl).
CVE-2020-36179
FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o
interação entre dispositivos de serialização e digitação, relacionados
para oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS.
CVE-2020-36180
FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o
interação entre dispositivos de serialização e digitação, relacionados
para org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS.
CVE-2020-36181
FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o
interação entre dispositivos de serialização e digitação, relacionados
para org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS.
CVE-2020-36182
FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o
interação entre dispositivos de serialização e digitação, relacionados
para org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS.
CVE-2020-36183
FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o
interação entre dispositivos de serialização e digitação, relacionados
para org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool.
CVE-2020-36184
FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o
interação entre dispositivos de serialização e digitação, relacionada a
org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource.
CVE-2020-36185
FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o
interação entre dispositivos de serialização e digitação, relacionada a
org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource.
CVE-2020-36186
FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o
interação entre dispositivos de serialização e digitação, relacionada a
org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource.
CVE-2020-36187
FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o
interação entre dispositivos de serialização e digitação, relacionada a
org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource.
CVE-2020-36188
FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o
interação entre dispositivos de serialização e digitação, relacionada a
com.newrelic.agent.deps.ch.qos.logback.core.db.JNDICS.
CVE-2020-36189
FasterXML jackson-databind 2.x antes de 2.9.10.8 manipula incorretamente o
interação entre dispositivos de serialização e digitação, relacionada a
com.newrelic.agent.deps.ch.qos.logback.core.db.DMCS.
CVE-2021-20190
Uma falha foi encontrada no databind de jackson antes de 2.9.10.7. FasterXML
manipula mal a interação entre os gadgets de serialização e
digitando. A maior ameaça desta vulnerabilidade são os dados
confidencialidade e integridade, bem como disponibilidade do sistema.
Para Debian 9 stretch, esses problemas foram corrigidos na versão
2.8.6-1 + deb9u9.
Recomendamos que você atualize seus pacotes jackson-databind.
Para obter o status de segurança detalhado do jackson-databind, consulte
sua página de rastreador de segurança em:
https://security-tracker.debian.org/tracker/jackson-databind
Mais informações sobre os avisos de segurança do Debian LTS, como se inscrever
essas atualizações para o seu sistema e as perguntas mais frequentes podem ser
encontrado em: https://wiki.debian.org/LTS
Até a próxima !!
Nenhum comentário:
Postar um comentário