Рекомендация Debian по безопасности

DLA-352-1 libcommons-collections3-java -- обновление безопасности LTS

Дата сообщения:
26.11.2015
Затронутые пакеты:
libcommons-collections3-java
Уязвим:
Да
Ссылки на базы данных по безопасности:
На данный момент ссылки на внешние базы данных по безопасности отсутствуют.
Более подробная информация:

Набор общих блоков Apache содержит проблемы безопасности, что приводит к тому, что приложения принимают сериализованные объекты из недоверенных источников. Удалённые злоумышленники могут использовать эти проблемы для выполнения произвольных функций Java и даже инъекции изменённого байт-кода.

Данный выпуск libcommons-collection3-java предотвращает указанные проблемы путём отключения десериализации классов функторов в том случае, если системное свойство org.apache.commons.collections.enableUnsafeSerialization не установлено в значение true. Небезопасными считаются следующие классы: CloneTransformer, ForClosure, InstantiateFactory, InstantiateTransformer, InvokerTransformer, PrototypeCloneFactory, PrototypeSerializationFactory и WhileClosure.

В Debian 6 Squeeze эти проблемы были исправлены в libcommons-collections3-java версии 3.2.1-4+deb6u1. Рекомендуется обновить пакеты libcommons-collections3-java.