Debians sikkerhedsbulletin
DSA-4619-1 libxmlrpc3-java -- sikkerhedsopdatering
- Rapporteret den:
- 6. feb 2020
- Berørte pakker:
- libxmlrpc3-java
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 949089.
I Mitres CVE-ordbog: CVE-2019-17570. - Yderligere oplysninger:
-
Guillaume Teissier rapporterede om at XMLRPC-klienten i libxmlrpc3-java, en implementering af XML-RPC i Java, ikke udførte afserialisering af serverside-undtagelsen, som er serialiseret i faultCause-attributten i XMLRPC-fejlsvarmeddelelser. En ondsindet XMLRPC-server kunne drage nytte af fejlen til udførelse af vilkårlig kode, med rettighederne hørende til en applikation, der anvender Apaches XMLRPC-klientbibliotek.
Bemærk at en klient, der forventer at modtage serverside-undtagelser, eksplicit skal have opsat egenskaben enabledForExceptions.
I den gamle stabile distribution (stretch), er dette problem rettet i version 3.1.3-8+deb9u1.
I den stabile distribution (buster), er dette problem rettet i version 3.1.3-9+deb10u1.
Vi anbefaler at du opgraderer dine libxmlrpc3-java-pakker.
For detaljeret sikkerhedsstatus vedrørende libxmlrpc3-java, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/libxmlrpc3-java