Долгосрочная поддержка Debian / Информация о безопасности LTS / 2016 / Информация о безопасности -- DLA-443-1 bsh

Рекомендация Debian по безопасности

DLA-443-1 bsh -- обновление безопасности LTS

Дата сообщения:

29.02.2016

Затронутые пакеты:

bsh

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2016-2510.

Более подробная информация:

В BeanShell, встраиваемом интерпретаторе исходного кода на языке Java с возможностями объектного языка сценариев, была обнаружена возможность удалённого выполнения кода.

• CVE-2016-2510

  Приложение, включающее BeanShell в classpath, может оказаться уязвимым в случае, если другая часть этого приложения использует сериализацию Java или XStream для десериализации данных из недоверенного источника. Уязвимое приложение может использоваться для удалённого выполнения кода, включая выполнение произвольных команд командной оболочки.

В Debian 6 Squeeze эти проблемы были исправлены в версии 2.0b4-12+deb6u1.

Рекомендуется обновить пакеты bsh.