Debians sikkerhedsbulletin

DSA-4619-1 libxmlrpc3-java -- sikkerhedsopdatering

Rapporteret den:
6. feb 2020
Berørte pakker:
libxmlrpc3-java
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 949089.
I Mitres CVE-ordbog: CVE-2019-17570.
Yderligere oplysninger:

Guillaume Teissier rapporterede om at XMLRPC-klienten i libxmlrpc3-java, en implementering af XML-RPC i Java, ikke udførte afserialisering af serverside-undtagelsen, som er serialiseret i faultCause-attributten i XMLRPC-fejlsvarmeddelelser. En ondsindet XMLRPC-server kunne drage nytte af fejlen til udførelse af vilkårlig kode, med rettighederne hørende til en applikation, der anvender Apaches XMLRPC-klientbibliotek.

Bemærk at en klient, der forventer at modtage serverside-undtagelser, eksplicit skal have opsat egenskaben enabledForExceptions.

I den gamle stabile distribution (stretch), er dette problem rettet i version 3.1.3-8+deb9u1.

I den stabile distribution (buster), er dette problem rettet i version 3.1.3-9+deb10u1.

Vi anbefaler at du opgraderer dine libxmlrpc3-java-pakker.

For detaljeret sikkerhedsstatus vedrørende libxmlrpc3-java, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/libxmlrpc3-java