Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2827-1 libcommons-fileupload-java

Debians sikkerhedsbulletin

DSA-2827-1 libcommons-fileupload-java -- upload af vilkårlig fil via deserialisation

Rapporteret den:

24. dec 2013

Berørte pakker:

libcommons-fileupload-java

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 726601.
I Mitres CVE-ordbog: CVE-2013-2186.

Yderligere oplysninger:

Man opdagede at Apache Commons FileUpload, en pakke der gør det let at tilføje robuste, højtydende filuploadmulighed til servlets og webapplikationer, på ukorrekt vis håndterede filnavne med NULL-bytes i serialiserede instanser. En fjernangriber med mulighed for at levere en serialiseret instans af klassen DiskFileItem, der kunne deserialiseres på en server, kunne udnytte fejlen til at skrive vilkårligt indhold til enhver placering på serveren, som er tilgængelig for brugeren, der kører applikationens serverproces.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 1.2.2-1+deb6u1.

I den stabile distribution (wheezy), er dette problem rettet i version 1.2.2-1+deb7u1.

I distributionen testing (jessie), er dette problem rettet i version 1.3-2.1.

I den ustabile distribution (sid), er dette problem rettet i version 1.3-2.1.

Vi anbefaler at du opgraderer dine libcommons-fileupload-java-pakker.