Bulletin d'alerte Debian

DLA-2924-1 libxstream-java -- Mise à jour de sécurité pour LTS

Date du rapport :
15 février 2022
Paquets concernés :
libxstream-java
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2021-43859.
Plus de précisions :

Il y a une attaque potentielle par déni de service (DoS) distant dans XStream, une bibliothèque Java utilisée pour sérialiser des objets vers XML et inversement.

Un attaquant peut avoir consommé 100 % des ressources du processeur, mais la bibliothèque actuellement surveille et cumule le temps pris pour ajouter des éléments aux collections, et envoie une exception si un seuil fixé est dépassé.

  • CVE-2021-43859

    XStream est une bibliothèque Java au code source libre utilisée pour sérialiser des objets vers XML et inversement. Les versions antérieures à 1.4.19 peuvent permettre à un attaquant distant d'allouer 100 % du temps du processeur sur le système cible selon le type de processeur ou une exécution parallèle avec une charge utile telle que cela a pour conséquence un déni de service uniquement par la manipulation du flux d'entrée traité. XStream 1.4.19 surveille et cumule le temps pris pour ajouter des éléments aux collections, et envoie une exception si un seuil fixé est dépassé. Il est conseillé aux utilisateurs de mettre à niveau leur système dans les plus brefs délais. Les utilisateurs qui ne peuvent pas effectuer de mise à niveau peuvent définir le mode NO_REFERENCE pour éviter la récursion. Consultez GHSA-rmr5-cpv2-vgjf pour davantage de détails sur un palliatif, si une mise à niveau est impossible.

Pour Debian 9 Stretch, ces problèmes ont été corrigé dans la version 1.4.11.1-1+deb9u5.

Nous vous recommandons de mettre à jour vos paquets libxstream-java.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.