Bulletin d'alerte Debian

DLA-443-1 bsh -- Mise à jour de sécurité pour LTS

Date du rapport :
29 février 2016
Paquets concernés :
bsh
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-2510.
Plus de précisions :

Une vulnérabilité d’exécution de code à distance a été découverte dans BeanShell, un interpréteur de source Java intégrable avec des caractéristiques de langage objet de script.

  • CVE-2016-2510:

    Une application incluant BeanShell dans son classpath peut être vulnérable si une autre partie de l’application utilise la sérialisation Java ou XStream pour la désérialisation de données à partir d’une source non fiable. Une application vulnérable pourrait être exploitée pour l’exécution de code à distance, y compris l’exécution de commandes d’interpréteur arbitraires.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 2.0b4-12+deb6u1.

Nous vous recommandons de mettre à jour vos paquets bsh.