Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3403-1 libcommons-collections3-java

Säkerhetsbulletin från Debian

DSA-3403-1 libcommons-collections3-java -- säkerhetsuppdatering

Rapporterat den:

2015-11-24

Berörda paket:

libcommons-collections3-java

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

För närvarande är inga ytterligare referenser till externa säkerhetsdatabaser tillgängliga.

Ytterligare information:

Denna uppdatering bakåtanpassar förändringar från utgåvan av commons-collections 3.2.2 som inaktiverar deserialisering av funktorklasser om inte systeminställningen org.apache.commons.collections.enableUnsafeSerialization är satt till true. Detta rättar en sårbarhet i osäkra applikationer som deserialiserar objekt från opålitliga källor utan att rengöra inmatningsdata. Klasser som anses osäkra inkluderar: CloneTransformer, ForClosure, InstantiateFactory, InstantiateTransformerm, InvokerTransformer, PrototypeCloneFactory, PrototypeSerializationFactory och WhileClosure.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 3.2.1-5+deb7u1.

För den stabila utgåvan (Jessie) har detta problem rättats i version 3.2.1-7+deb8u1.

För uttestningsutgåvan (Stretch) har detta problem rättats i version 3.2.2-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 3.2.2-1.

Vi rekommenderar att ni uppgraderar era libcommons-collections3-java-paket.