Informations de sécurité / 2022 / Informations sur la sécurité -- DSA-5307-1 libcommons-net-java

Bulletin d'alerte Debian

DSA-5307-1 libcommons-net-java -- Mise à jour de sécurité

Date du rapport :

29 décembre 2022

Paquets concernés :

libcommons-net-java

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 1025910.
Dans le dictionnaire CVE du Mitre : CVE-2021-37533.

Plus de précisions :

ZeddYu Lu a découvert que le client FTP d’Apache Commons Net, une API cliente en Java pour les protocoles basiques d'Internet, acceptait l'hôte de la réponse PASV par défaut. Un serveur malveillant pouvait rediriger le code Commons Net pour utiliser un hôte différent, mais l'utilisateur devait d'abord se connecter au serveur malveillant. Cela pouvait conduire à une fuite d’informations sur les services en cours d’exécution sur le réseau privé du client.

Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 3.6-1+deb11u1.

Nous vous recommandons de mettre à jour vos paquets libcommons-net-java.

Pour disposer d'un état détaillé sur la sécurité de libcommons-net-java, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libcommons-net-java.