Bulletin d'alerte Debian

DLA-888-1 logback -- Mise à jour de sécurité pour LTS

Date du rapport :
7 avril 2017
Paquets concernés :
logback
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 857343.
Dans le dictionnaire CVE du Mitre : CVE-2017-5929.
Plus de précisions :

Logback, une bibliothèque flexible de journalisation pour Java, désérialisait des données à partir de sockets non fiables. Cela pouvait conduire à l'exécution de code arbitraire. Ce problème a été résolu en ajoutant une liste blanche pour utiliser seulement des classes fiables.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1:1.0.4-1+deb7u1.

Nous vous recommandons de mettre à jour vos paquets logback.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.