Информация по безопасности / 2015 / Информация о безопасности -- DSA-3403-1 libcommons-collections3-java

Рекомендация Debian по безопасности

DSA-3403-1 libcommons-collections3-java -- обновление безопасности

Дата сообщения:

24.11.2015

Затронутые пакеты:

libcommons-collections3-java

Уязвим:

Да

Ссылки на базы данных по безопасности:

На данный момент ссылки на внешние базы данных по безопасности отсутствуют.

Более подробная информация:

Данное обновление представляет собой обратный перенос изменений из commons-collections версии 3.2.2, которые отключают десериализацию функций классов за исключением тех случае, когда системное свойство org.apache.commons.collections.enableUnsafeSerialization имеет значение true. Эти изменения исправляют уязвимость в небезопасных приложений, десериализирующих объекты из недоверенных источников без выполнения очистки входных данных. Классы, считающиеся небезопасными: CloneTransformer, ForClosure, InstantiateFactory, InstantiateTransformer, InvokerTransformer, PrototypeCloneFactory, PrototypeSerializationFactory и WhileClosure.

В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в версии 3.2.1-5+deb7u1.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 3.2.1-7+deb8u1.

В тестируемом выпуске (stretch) эта проблема была исправлена в версии 3.2.2-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 3.2.2-1.

Рекомендуется обновить пакеты libcommons-collections3-java.