Säkerhetsbulletin från Debian

DSA-2827-1 libcommons-fileupload-java -- godtycklig filuppladdning via deserialisering

Rapporterat den:
2013-12-24
Berörda paket:
libcommons-fileupload-java
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 726601.
I Mitres CVE-förteckning: CVE-2013-2186.
Ytterligare information:

Man har upptäckt att Apache Commons FileUpload, ett paket för att göra det lätt att lägga till robusta, högpresterande filuppladdningsmöjligheter till servlets och webbapplikationer, felaktigt hanterade filnamn med NULL-bytes i serialiserade instanser. En fjärrangripare med möjlighet att tillhandahålla en serialiserad instans av klassen DiskFileItem, som kunde deserialiseras på en server, kunde använda denna brist för att skriva godtyckligt innehåll till vilken plats som helst på servern som är tillgänglig till användaren som kör applikationsserverprocessen.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 1.2.2-1+deb6u1.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.2.2-1+deb7u1.

För uttestningsutgåvan (Jessie) har detta problem rättats i version 1.3-2.1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.3-2.1.

Vi rekommenderar att ni uppgraderar era libcommons-fileupload-java-paket.