Bulletin d'alerte Debian

DSA-4619-1 libxmlrpc3-java -- Mise à jour de sécurité

Date du rapport :
6 février 2020
Paquets concernés :
libxmlrpc3-java
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 949089.
Dans le dictionnaire CVE du Mitre : CVE-2019-17570.
Plus de précisions :

Guillaume Teissier a signalé que le client XMLRPC dans libxmlrpc3-java, une implémentation XML-RPC dans Java, réalise la désérialisation de l'exception côté serveur sérialisée dans l'attribut faultCause des messages de réponse d'erreur de XMLRPC. Un serveur XMLRPC malveillant peut tirer avantage de ce défaut pour exécuter du code arbitraire avec les privilèges d'une application utilisant la bibliothèque client XMLRPC d'Apache.

Notez qu'un client qui s'attend à obtenir des exceptions côté serveur doit configurer la propriété enabledForExceptions explicitement.

Pour la distribution oldstable (Stretch), ce problème a été corrigé dans la version 3.1.3-8+deb9u1.

Pour la distribution stable (Buster), ce problème a été corrigé dans la version 3.1.3-9+deb10u1.

Nous vous recommandons de mettre à jour vos paquets libxmlrpc3-java.

Pour disposer d'un état détaillé sur la sécurité de libxmlrpc3-java, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libxmlrpc3-java.