Bulletin d'alerte Debian

DLA-2078-1 libxmlrpc3-java -- Mise à jour de sécurité pour LTS

Date du rapport :
30 janvier 2020
Paquets concernés :
libxmlrpc3-java
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 949089.
Dans le dictionnaire CVE du Mitre : CVE-2019-17570.
Plus de précisions :

Une désérialisation non fiable a été découverte dans la méthode org.apache.xmlrpc.parser.XmlRpcResponseParser:addResult de la bibliothèque d’Apache XML-RPC (alias ws-xmlrpc). Un serveur XML-RPC malveillant pourrait cibler un client XML-RPC et le forcer à une exécution de code arbitraire.

Les clients, prévoyant d’obtenir des exceptions du côté serveur, ont besoin d’activer la propriété enabledForExceptions afin de traiter de nouveau des messages d’exception sérialisés.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 3.1.3-7+deb8u1.

Nous vous recommandons de mettre à jour vos paquets libxmlrpc3-java.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.