Bulletin d'alerte Debian

DLA-352-1 libcommons-collections3-java -- Mise à jour de sécurité pour LTS

Date du rapport :
26 novembre 2015
Paquets concernés :
libcommons-collections3-java
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
Plus de précisions :

La bibliothèque commons collection d'Apache souffrait de problèmes de sécurité, faisant accepter aux applications des objets sérialisés à partir de sources non sûres. Des attaquants distant pourraient tirer avantage de ces problèmes pour exécuter des fonctions Java arbitraires et même pour injecter du bytecode manipulé.

Cette version de libcommons-collection3-java évite ces problèmes en désactivant la désérialisation des classes functor, sauf si la propriété du système org.apache.commons.collections.enableUnsafeSerialization est configurée à true. Les classes considérées comme non sûres sont : CloneTransformer, ForClosure, InstantiateFactory, InstantiateTransformer, InvokerTransformer, PrototypeCloneFactory, PrototypeSerializationFactory et WhileClosure.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 3.2.1-4+deb6u1 de libcommons-collections3-java. Nous vous recommandons de mettre à jour vos paquets libcommons-collections3-java.