Debians sikkerhedsbulletin

DLA-443-1 bsh -- LTS-sikkerhedsopdatering

Rapporteret den:
29. feb 2016
Berørte pakker:
bsh
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2016-2510.
Yderligere oplysninger:

En sårbarhed i forbindelse med fjernudførelse af kode, blev fundet i BeanShell, en embedbar Java-kodefortolker med objektskripsprogfunktionalitet.

  • CVE-2016-2510:

    En applikation, som medtager BeanShell på classpath, kunne være sårbar, hvis en anden del af applikationen anvender Java-serialisering eller XStream til at deserialisere data fra en kilde, der ikke er tillid til. En sårbar applikation kunne udnyttes til fjernudførelse af kode, herunder udførelse af vilkårlige shell-kommandoer.

I Debian 6 Squeeze, er disse problemer rettet i version 2.0b4-12+deb6u1.

Vi anbefaler at du opgraderer dine bsh-pakker.