Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3504-1 bsh

Debians sikkerhedsbulletin

DSA-3504-1 bsh -- sikkerhedsopdatering

Rapporteret den:

4. mar 2016

Berørte pakker:

bsh

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2016-2510.

Yderligere oplysninger:

Alvaro Muñoz og Christian Schneider opdagede at BeanShell, en indlejret fortolker af Java-kildekode, kunne bringes til at udføre vilkårlige kommandoer: applikationer som medtager BeanShell i deres classpath, var sårbare over for denne fejl, hvis de deserialiserer data fra en kilde, der ikke er tillid til.

I den gamle stabile distribution (wheezy), er dette problem rettet i version 2.0b4-12+deb7u1.

I den stabile distribution (jessie), er dette problem rettet i version 2.0b4-15+deb8u1.

I distributionen testing (stretch) og i den ustabile distribution (sid), er dette problem rettet i version 2.0b4-16.

Vi anbefaler at du opgraderer dine bsh-pakker.