Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3403-1 libcommons-collections3-java

Debians sikkerhedsbulletin

DSA-3403-1 libcommons-collections3-java -- sikkerhedsopdatering

Rapporteret den:

24. nov 2015

Berørte pakker:

libcommons-collections3-java

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

Der er pt. ingen tilgængelige eksterne sikkerhedsreferencer i andre databaser.

Yderligere oplysninger:

Denne opdatering tilbagefører ændringer fra commons-collections 3.2.2-udgaven, hvilket deaktiverer deserialisering af functors-klassen, med mindre systemegenskaben org.apache.commons.collections.enableUnsafeSerialization er sat til true. Dermed rettes en sårbarhed i usikre applikationer, som deserialiserer objekter fra kilder, der ikke er tillid til, uden at fornuftighedskontrollere deres inddata. Klasser, der betragtes som usikre, er: CloneTransformer, ForClosure, InstantiateFactory, InstantiateTransformer, InvokerTransformer, PrototypeCloneFactory, PrototypeSerializationFactory og WhileClosure.

I den gamle stabile distribution (wheezy), er dette problem rettet i version 3.2.1-5+deb7u1.

I den stabile distribution (jessie), er dette problem rettet i version 3.2.1-7+deb8u1.

I distributionen testing (stretch), er dette problem rettet i version 3.2.2-1.

I den ustabile distribution (sid), er dette problem rettet i version 3.2.2-1.

Vi anbefaler at du opgraderer dine libcommons-collections3-java-pakker.