概要
リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。
説明
リモートの openSUSE 16 ホストに、複数の脆弱性の影響を受けているパッケージがインストールされています。これらの脆弱性は openSUSE-SU-2026:21201-1 アドバイザリで言及されています。
jackson-annotations、jackson-core、jackson-databindのこの更新プログラムでは、以下の問題が修正されています
- CVE-2026-54512:jackson-databindには、任意のクラスのインスタンス化を可能にするジェネリックタイプパラメーターを介してPolymorphicTypeValidatorバイパスがあります(bsc#1268897)。
- CVE-2026-54513:jackson-databindには、BasicPolymorphicTypeValidatorに配列サブタイプ許可リストバイパスがあります(bsc#1268898)。
- CVE-2026-54514:InetSocketAddress の逆シリアル化により、eager DNS 解決(bsc#1268899)が発生します。
- CVE-2026-54515:jackson-databindには、大文字と小文字を区別しない逆シリアル化バイパスがあり、プロパティごとの@JsonIgnorePropertiesバイパスがあります(bsc#1268902)。
- ブロッキング、非同期、DataInput パーサーにおけるドキュメントの長さの制約のバイパス(bsc#1268603)。
jackson-annotations の変更:
- 2.18.8 への更新
* 以降変更はありません 2.17.3
jackson-core の変更:
- 2.18.8 への更新
* 2.18.8 + #1611 の変更:非同期パーサーのストリーミング整数パスで数値長のバリデーターを適用します
* 2.18.7 の変更 + #1570:「StreamReadConstraints .getMaxDocumentLength()」が設定されている場合、「DataInput」からの解析が失敗します(bsc#1268603、GHSA-2m67-wjpj-xhg9) + #1600:jar のサードパーティのライセンスを作り替えます + #1602:「UTF8DataInputJsonParser」は、「StreamReadConstraints.maxNameLength」制限を強制する必要があります
* 2.18.6 の変更 + #1512:「UTF8DataInputJsonParser」に対する数値解析の修正 + #1548:「StreamReadConstraints.maxDocumentLength」は、固定バッファでパーサーを作成するときにチェックされません + #1555:ノンブロッキング(非同期)パーサーに対して「StreamReadConstraints.maxNumberLength」を強制します
* 2.18.5 の変更 + #1433:現在のトークンが非数値の場合に、「JsonParser#getNumberType()」は、null を返す代わりに「JsonParseException」をスローします + #1446:「com.fasterxml.jackson.core:jackson-core」(「FastDoubleParser」から)からの java.lang.foreign への無効なパッケージ参照
* 2.18.3 の変更 + #1391:後の数値を解析する際に、パーサーが古い数値の状態を読み戻すことができる問題を修正します + #1397:Jackson は、特別な JSON 構造および既存の無限値の場合、追加値を無限に変更します + #1398:カスタムの characterEscape が使用されている場合、機能 COMBINE_UNICODE_SURROGATES_IN_UTF8 が機能しない問題を修正します
* 2.18.2 + #1359 の変更:「JsonWriteFeature.COMBINE_UNICODE_SURROGATES_IN_UTF8」が有効な場合に、非サロゲート文字が不適切に結合されます
* 2.18.1 + #1353 の変更:fastdoubleparser を使用 1.0.90
* 2.18の変更。
+ #223:「UTF8JsonGenerator」は補助文字をサロゲートペアとして書き込みます:4 バイトのエンコーディングを使用する必要があります + #1230:「TextBuffer」からの「float」および「double」解析のパフォーマンスを改善 + #1251:「InternCache」は、「ReentrantLock」と同期したものを置換します
- キャッシュサイズ制限は、パフォーマンスの理由から厳格に実施されなくなりましたが、この制限については決して行き過ぎるべきではありません + #1252:「ReentrantLock」と同期した「ThreadLocalBufferManager」を置換 + #1257:InternCache のデフォルト最大サイズを 100 から 200 に引き上げます + #1262:「RecyclerPool」に診断メソッド「pooledCount()」を追加 + #1264:シェーディングされた「ch.randelshofer:fastdoubleparser」クラスの名前を変更し、ダウンストリームの消費者による使用を防止します + #1271: 2.18 の「LockFreePool」実装を廃止します( 3.0 から削除)+ #1274:「NUL」で破損したキー、JSON シリアル化の値 + #1277:FastDoubleParser に Java 22 最適化を追加して戻します + #1284:「JsonParser.getDoubleValue()/getFloatValue() /getDecimalValue()」を最適化して、文字列割り当てを回避します + #1305:「WriterBasedJsonGenerator」のヘルパーメソッドを非最終的にし、オーバーライドを許可します + #1310:新しい「StreamReadConstraints」(「maxTokenCount」)を追加して、ドキュメントごとに許可されるトークンの最大数を制限します# + #1331:「BigDecimal」デコーディングの問題を修正するために FastDoubleParser v1.0.1 に更新してください
jackson-databind の変更点:
- 2.18.8 への更新
* 2.18.8 の変更 + #5950:「UUIDeserializer」エラー処理の改善 + #5951:「InetSocketAddress」逆シリアル化の改善(bsc#1268899、 CVE-2026-54514) + #5969:一部の setterless creator プロパティの「@JsonView」バイパス + #5971:ラップされていない creator パラメーターの「@JsonView」バイパス + #5974:「PropertyNamingStrategy」で無視されるレコードプロパティの「@JsonIgnore」 + #5981:「BasicPolymorphicTypeValidator」設定「allowIfSubTypeIsArray()」は要素タイプを検証する必要があります(bsc#1268898、 CVE-2026-54513) + #5988:「PolymorphicTypeValidator」はジェネリック型パラメーターも検証する必要があります(bsc#1268897、 CVE-2026-54512) + #5993:「UPPER_SNAKE_CASE」/「LOWER_CASE」JVM デフォルトロケールを使用した「NamingStrategyImpls」の折り畳みケース(Turkish-I バグ)
* 2.18.4 の変更 + #4628:レコードプロパティの「@JsonIgnore」および「@JsonProperty.access=READ_ONLY」が逆シリアル化で無視される + #5049:シンプルな Java レコードで作成者プロパティ b(インデックス 0 対 1)が重複する
* 2.18.3 + #4444 の変更:「@JsonDeserialize(keyUsing = ...)」でクラスで指定された「KeyDeserializer」が、「ObjectMapper」で指定された「KeyDeserializer」によって上書きされます。
+ #4827:サブクラス化された Throwable の逆シリアル化が v2.18.0 以降に失敗する - プロパティ「cause」に対するクリエイターインデックスがありません + #4844:「StdDeserializer」による「null」wrt を処理するラップされた配列を修正 + #4848:「StringCollectionDeserializer」での型汚染を回避 + #4860:「ConstructorDetector.USE_PROPERTIES_BASED」は、 2.18 以降、複数のコンストラクターでは動作しない + #4878:Converter(StdDelegatingSerializer)でマップをシリアル化すると、キーシリアライザー + #4908 がないため NullPointerException がスローされます:@JsonCreatorでの逆シリアル化の挙動の変化、 2.17 と 2.18 の間の@ConstructorProperties + #4917:「@JsonCreator」使用時の「BigDecimal」逆シリアル化の問題 + #4920:Bean プロパティを収集するとき、抽象型では Creator プロパティが無視され、AsExternalTypeDeserializer が破損します + #4922:カスタムマップによる「@JsonMerge」の失敗 + #4932:「MissingNode」の変換により、「JsonProcessingException」がスローされます
* 2.18.2 の変更 + #4733:特定のタイプの Enum 値に対するタイプ ID の誤ったシリアル化 + #4742:ビルダー、外部タイプ ID による逆シリアル化、「@JsonCreator」の失敗 + #4777:「StdValueInstantiator.withArgsCreator」が引数のないクリエイターに対して設定されるようになりました + #4783 @JsonMerge の誤った動作の可能性 + #4787:「StdDelegatingDeserializer」の間違った「String.format()」が実際のエラーを隠します + #4788:「EnumFeature.WRITE_ENUMS_TO_LOWERCASE」が「@JsonProperty」値をオーバーライドします + #4790:セッターメソッドの「@JsonAnySetter」問題を修正( #4639 に関連) + #4807:「FactoryBasedEnumDeserializer」を改良し、XML モジュールとの動作を改善します + #4810:名前を変更されたプロパティが失敗する「@JsonCreator」を使用した逆シリアル化( 2.18 年以降)
* 2.18.1 の変更 + #4508:Kotlin データクラスで逆シリアル化された JsonAnySetter フィールドが null + #4639:認識されないプロパティが JSON で最後に認識されるプロパティより前に宣言された場合、認識されないプロパティを無視するフィールドの@JsonAnySetter + #4718:「java.time.DateTimeException」のシリアル化の試行で失敗しないはずです + #4724:「 2.17 と 2.18 の間のレコード、「@JsonCreator」および「@JsonValue」によって逆シリアル化の挙動が変化します + #4727: 2.18.0 jar で「module-info」クラスが失われたため、Eclipse に問題があります + #4741:POJO で「Include.NON_DEFAULT」設定が使用されるとき、デフォルトが「null」の場合、空の値は json に含まれません + #4749:「StdDelegatingSerializer#serializeWithType」が間違った引数でシリアライザーを検索する際の問題を修正しました
* 2.18.0 の変更 + #562:「@JsonAnySetter」が Creators を通過することを許可 + #806:「NamingStrategy」、暗黙の名前の creator メソッドに関する問題 + #2977:「FAIL_ON_MISSING_PRIMITIVE_PROPERTIES」およびフィールドレベル「@JsonProperty」の互換性がない + #3120:「ArrayNode.elements()」から「ListIterator」を返す + #3241:「constructorDetector」が null 許容に関して「defaultSetterInfo」を無効にする模様 + #3439:逆シリアル化 + #4085 後、レコード「@JsonAnySetter」値が null になるJava:「@JsonView」はレコードのクラスレベルで機能しません + #4119:逆シリアル化が「access=READ_ONLY」のあるコンストラクタープロパティを持つレコードを使用する場合の例外 + #4356:「BeanDeserializerModifier::updateBuilder()」が Creator メソッドを持つ Bean に対して機能しません + #4407:「null」タイプ ID 処理が「writeTypePrefix()」で機能しません + #4452:「@JsonProperty」がレコードの「@JsonCreator」でフィールド名を適切にシリアル化しません + #4453:JSON 整数が、パラメータータイプ「double」の単一引数コンストラクターに逆シリアル化できるようにします + #4456:「DeserializerCache」のロックを修正します + #4458:「BeanDeserializerBase」からの同期されたブロックを作り替えます + #4464:「Include.NON_DEFAULT」設定を使用すると、「isEmpty()」メソッドがシリアライザで呼び出されません + #4472:「TypeDeserializerBase」の同期ブロックが作り替えられます + #4483:BeanSerializer.serialize() メソッドの「final」を削除します + #4515:Jackson の Bean プロパティイントロスペクションロジックを書き換えます 2.x + #4545:「@JsonCreator」、「@JsonProperty」および javac の「-parameters」による予期しない逆シリアル化の挙動 + #4570:「ObjectMapper.canDeserialize()」/「ObjectMapper .canSerialize()」を廃止します + #4580:「MapperFeature」を追加します。ソートに Creator プロパティの宣言順序を使用するためのSORT_CREATOR_PROPERTIES_BY_DECLARATION_ORDER + #4584:Kotlin(および類似する)データクラスのプライマリコンストラクタを検出するための拡張ポイントを提供 + #4602:BeanDeserializerBase::d eserializeFromObjectUsingNonDefault() での _arrayDelegateDeserializer の誤用の可能性 + #4617:レコードプロパティのシリアル化順序が保持されない + #4626:getter オーバーライドがある場合に、逆シリアル化に対してレコードプロパティの「@JsonIgnore」が無視される + #4630:ゲッターオーバーライドがある場合、レコードをシリアル化する際に、「@JsonIncludeProperties」、「@JsonIgnoreProperties」が無視されます + #4634:コンストラクターパラメーターとフィールドの両方に注釈が付けられている場合、「@JsonAnySetter」が機能しません + #4678:Java レコードが「MapperFeature」でシリアル化されません。REQUIRE_SETTERS_FOR_GETTERS' + #4688:引数なしの「@JsonCreator(mode = DELEGATING)」による逆シリアル化を許可する必要があります + #4694:多数の小数を持つ「BigDecimal」の逆シリアル化により、不適切な値になります + #4699:「TokenBuffer」の中の「writeNumber()」メソッドをさらに追加します + #4709:「toArrayNode()」実装で「JacksonCollectors」を追加します + #5962 を修正:大文字と小文字を区別しない逆シリアル化で、間違った@JsonIgnorePropertiesが使用される可能性があります(bsc#1268902、 CVE-2026-54515)
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。
プラグインの詳細
ファイル名: openSUSE-2026-21201-1.nasl
エージェント: unix
サポートされているセンサー: Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:jackson-databind, p-cpe:/a:novell:opensuse:jackson-databind-javadoc, cpe:/o:novell:opensuse:16.0, p-cpe:/a:novell:opensuse:jackson-annotations, p-cpe:/a:novell:opensuse:jackson-annotations-javadoc, p-cpe:/a:novell:opensuse:jackson-core, p-cpe:/a:novell:opensuse:jackson-core-javadoc
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: Exploits are available