Bulletin d'alerte Debian

DLA-274-1 groovy -- Mise à jour de sécurité pour LTS

Date du rapport :
20 juillet 2015
Paquets concernés :
groovy
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-3253.
Plus de précisions :

Cpnrodzc7, qui travaille avec Zero Day Initiative de HP, a découvert que les applications Java utilisant les mécanismes de sérialisation standard de Java pour décoder des données non fiables, et qui ont Groovy dans leur classpath, peuvent recevoir un objet sérialisé qui fera exécuter à l'application du code arbitraire.

Pour la distribution oldoldstable (Squeeze), ce problème a été corrigé dans la version 1.7.0-4+deb6u1.

Pour la distribution oldstable (Wheezy) et la distribution stable (Jessie), ce problème sera corrigé prochainement.