Bulletin d'alerte Debian

DLA-2616-1 libxstream-java -- Mise à jour de sécurité pour LTS

Date du rapport :
3 avril 2021
Paquets concernés :
libxstream-java
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 985843.
Dans le dictionnaire CVE du Mitre : CVE-2021-21341, CVE-2021-21342, CVE-2021-21343, CVE-2021-21344, CVE-2021-21345, CVE-2021-21346, CVE-2021-21347, CVE-2021-21348, CVE-2021-21349, CVE-2021-21350, CVE-2021-21351.
Plus de précisions :

Dans XStream, il existait une vulnérabilité qui pouvait permettre à un attaquant distant de charger et d’exécuter du code arbitraire à partir d’un hôte distant simplement en manipulant le flux d’entrée traité.

Les hiérarchies de types pour java.io.InputStream, java.nio.channels.Channel, javax.activation.DataSource et javax.sql.rowsel.BaseRowSet sont désormais mises en liste noire ainsi que les types particuliers com.sun.corba.se.impl.activation.ServerTableEntry, com.sun.tools.javac.processing.JavacProcessingEnvironment$NameProcessIterator, sun.awt.datatransfer.DataTransferer$IndexOrderComparator et sun.swing.SwingLazyValue. De plus le type interne Accessor$GetterSetterReflection de JAXB, les types internes MethodGetter$PrivilegedGetter et ServiceFinder$ServiceNameIterator de JAX-WS, toutes les classes internes de javafx.collections.ObservableList et un chargeur de classe interne utilisé dans une copie privée BCEL font désormais partie de la liste noire par défaut et la désérialisation de XML contenant un de ces types échouera. Vous devez autoriser ces types à l’aide d’une configuration explicite si vous en avez besoin.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1.4.11.1-1+deb9u2.

Nous vous recommandons de mettre à jour vos paquets libxstream-java.

Pour disposer d'un état détaillé sur la sécurité de libxstream-java, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libxstream-java.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.