Bulletin d'alerte Debian

DLA-322-1 commons-httpclient -- Mise à jour de sécurité pour LTS

Date du rapport :
1er octobre 2015
Paquets concernés :
commons-httpclient
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-5262.
Plus de précisions :

Trevin Beattie [1] a découvert un problème où des blocages de processus pouvaient être observés dans une application Java multiprocessus. Après le débogage du problème, il est devenu évident que les blocages de processus étaient provoqués par le code d'initialisation de SSL dans commons-httpclient.

La mise à jour corrige ce problème en respectant le SO_TIMEOUT configuré durant l'établissement des connexions SSL avec le serveur.