Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3403-1 libcommons-collections3-java

Bulletin d'alerte Debian

DSA-3403-1 libcommons-collections3-java -- Mise à jour de sécurité

Date du rapport :

24 novembre 2015

Paquets concernés :

libcommons-collections3-java

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.

Plus de précisions :

Cette mise à jour rétroporte les modifications de la version 3.2.2 de commons-collections qui désactivent la désérialisation des classes functor sauf si la propriété du système org.apache.commons.collections.enableUnsafeSerialization est configurée à true. Cela corrige une vulnérabilité dans des applications non sécurisées qui désérialisent des objets à partir de sources non fiables, sans vérifier les données d'entrée. Les classes considérées comme non sûres sont : CloneTransformer, ForClosure, InstantiateFactory, InstantiateTransformer, InvokerTransformer, PrototypeCloneFactory, PrototypeSerializationFactory et WhileClosure.

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 3.2.1-5+deb7u1.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 3.2.1-7+deb8u1.

Pour la distribution testing (Stretch), ce problème a été corrigé dans la version 3.2.2-1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.2.2-1.

Nous vous recommandons de mettre à jour vos paquets libcommons-collections3-java.