LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1896-1 commons-beanutils

Bulletin d'alerte Debian

DLA-1896-1 commons-beanutils -- Mise à jour de sécurité pour LTS

Date du rapport :

24 août 2019

Paquets concernés :

commons-beanutils

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-10086.

Plus de précisions :

Il existait une vulnérabilité de code arbitraire à distance dans commons-beanutils, un ensemble d’utilitaires pour la manipulation de code JavaBeans.

• CVE-2019-10086

  Dans Apache Commons Beanutils 1.9.2, une classe spéciale BeanIntrospector était ajoutée qui permettait de supprimer la possibilité pour un attaquant d’accéder au chargeur de classe à l’aide d’une propriété de classe disponible pour tous les objets Java. Nous n'utilisions cela en aucune façon à cause d’une caractéristique par défaut de PropertyUtilsBean.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.9.2-1+deb8u1.

Nous vous recommandons de mettre à jour vos paquets commons-beanutils.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.