Bulletin d'alerte Debian

DLA-2507-1 libxstream-java -- Mise à jour de sécurité pour LTS

Date du rapport :
31 décembre 2020
Paquets concernés :
libxstream-java
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 977625, Bogue 977624.
Dans le dictionnaire CVE du Mitre : CVE-2020-26258, CVE-2020-26259.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans XStream, une bibliothèque Java pour sérialiser des objets vers et depuis XML

  • CVE-2020-26258

    XStream est vulnérable à une contrefaçon de requête côté serveur pouvant être activée lors de la désérialisation. Cette vulnérabilité peut permettre à un attaquant distant de demander des données de ressources internes privées simplement en manipulant le flux d’entrée traité.

  • CVE-2020-26259

    Xstream est vulnérable à une suppression de fichiers arbitraires sur l’hôte local lors de la désérialisation. Cette vulnérabilité peut permettre à un attaquant distant de supprimer des fichiers connus arbitraires, aussi longtemps que le processus en cours ait les droits nécessaires, simplement en manipulant le flux d’entrée traité.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1.4.11.1-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets libxstream-java.

Pour disposer d'un état détaillé sur la sécurité de libxstream-java, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libxstream-java.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.