Рекомендация Debian по безопасности

DLA-274-1 groovy -- обновление безопасности LTS

Дата сообщения:
20.07.2015
Затронутые пакеты:
groovy
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-3253.
Более подробная информация:

cpnrodzc7, работающий в HP Zero Day Initiative, обнаружил, что приложения на Java, использующие стандартные механизмы сериализации Java для декодирования недоверенных данных и имеющие Groovy в classpath, могут получить сериализованный объект, который приведёт к тому, что такое приложение выполнит произвольный код.

В предыдущем старом стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.7.0-4+deb6u1.

В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках эта проблема будет исправлена позже.