Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-3893-1 jython

Bulletin d'alerte Debian

DSA-3893-1 jython -- Mise à jour de sécurité

Date du rapport :

22 juin 2017

Paquets concernés :

jython

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 864859.
Dans le dictionnaire CVE du Mitre : CVE-2016-4000.

Plus de précisions :

Alvaro Munoz et Christian Schneider ont découvert que jython, une implémentation du langage Python finement intégrée avec Java, est prédisposée à l'exécution de code arbitraire déclenchée lors de l'envoi d'une fonction sérialisée au désérialisateur.

Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 2.5.3-3+deb8u1.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 2.5.3-16+deb9u1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.5.3-17.

Nous vous recommandons de mettre à jour vos paquets jython.