Bulletin d'alerte Debian

DSA-3893-1 jython -- Mise à jour de sécurité

Date du rapport :
22 juin 2017
Paquets concernés :
jython
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 864859.
Dans le dictionnaire CVE du Mitre : CVE-2016-4000.
Plus de précisions :

Alvaro Munoz et Christian Schneider ont découvert que jython, une implémentation du langage Python finement intégrée avec Java, est prédisposée à l'exécution de code arbitraire déclenchée lors de l'envoi d'une fonction sérialisée au désérialisateur.

Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 2.5.3-3+deb8u1.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 2.5.3-16+deb9u1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.5.3-17.

Nous vous recommandons de mettre à jour vos paquets jython.