Bulletin d'alerte Debian

DLA-3001-1 libgoogle-gson-java -- Mise à jour de sécurité pour LTS

Date du rapport :
13 mai 2022
Paquets concernés :
libgoogle-gson-java
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 1010670.
Dans le dictionnaire CVE du Mitre : CVE-2022-25647.
Plus de précisions :

Le paquet com.google.code.gson:gson dans les versions antérieures à 2.8.9 est vulnérable à une désérialisation de données non fiables au moyen de la méthode writeReplace() dans les classes internes, qui pouvait conduire à des attaques par déni de service.

Pour Debian 9 Stretch, ce problème a été corrigé dans la version 2.4-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets libgoogle-gson-java.

Pour disposer d'un état détaillé sur la sécurité de libgoogle-gson-java, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libgoogle-gson-java.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.