Рекомендация Debian по безопасности

DSA-4619-1 libxmlrpc3-java -- обновление безопасности

Дата сообщения:
06.02.2020
Затронутые пакеты:
libxmlrpc3-java
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 949089.
В каталоге Mitre CVE: CVE-2019-17570.
Более подробная информация:

Гийом Тесье сообщил, что XMLRPC-клиент в libxmlrpc3-java, реализации XML-RPC в Java, выполняет десериализацию исключения серверной стороны, сериализованного в атрибуте faultCause ответных сообщений XMLRPC об ошибках. Вредоносный XMLRPC-сервер может использовать эту уязвимость для выполнения произвольного кода с правами приложения, использующего клиентскую библиотеку Apache XMLRPC.

Обратите внимание, что клиент, ожидающий получить исключения серверной стороны, должен явно установить свойство enabledForExceptions.

В предыдущем стабильном выпуске (stretch) эта проблема была исправлена в версии 3.1.3-8+deb9u1.

В стабильном выпуске (buster) эта проблема была исправлена в версии 3.1.3-9+deb10u1.

Рекомендуется обновить пакеты libxmlrpc3-java.

С подробным статусом поддержки безопасности libxmlrpc3-java можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/libxmlrpc3-java