LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2021 / Informations sur la sécurité -- DLA-2769-1 libxstream-java

Bulletin d'alerte Debian

DLA-2769-1 libxstream-java -- Mise à jour de sécurité pour LTS

Date du rapport :

30 septembre 2021

Paquets concernés :

libxstream-java

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2021-39139, CVE-2021-39140, CVE-2021-39141, CVE-2021-39144, CVE-2021-39145, CVE-2021-39146, CVE-2021-39147, CVE-2021-39148, CVE-2021-39149, CVE-2021-39150, CVE-2021-39151, CVE-2021-39152, CVE-2021-39153, CVE-2021-39154.

Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans XStream, une bibliothèque Java pour sérialiser des objets en XML et les désérialiser.

Ces vulnérabilités peuvent permettre à un attaquant distant de charger et exécuter du code arbitraire d’un hôte distant simplement en manipulant le flux d’entrée traité.

XStream définit désormais une liste blanche par défaut, c’est-à-dire que toutes les classes sont bloquées sauf les types pour lesquels des convertisseurs sont explicitement déclarés. Habituellement une liste noire par défaut existait, c’est-à-dire que toutes les classes critiques actuellement connues de l’environnement d’exécution de Java étaient bloquées. La principale raison de la liste noire était la compatibilité qui permettait d’utiliser les nouvelles versions d’XStream comme substitution. Toutefois, cette approche a échoué. Une liste grandissante de rapports de sécurité a démontré qu’une liste noire est intrinsèquement peu sûre, sans tenir compte du fait que les types de bibliothèques tierces n’étaient même pas envisagés. Un scénario de liste noire doit être évité, car il procure un faux sentiment de sécurité.

Consultez aussi https://x-stream.github.io/security.html#framework.

Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans la version 1.4.11.1-1+deb9u4.

Nous vous recommandons de mettre à jour vos paquets libxstream-java.

Pour disposer d'un état détaillé sur la sécurité de libxstream-java, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libxstream-java.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.