Debians sikkerhedsbulletin

DSA-4811-1 libxstream-java -- sikkerhedsopdatering

Rapporteret den:
15. dec 2020
Berørte pakker:
libxstream-java
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2020-26217.
Yderligere oplysninger:

Man opdagede at standardsortlisten i XStream, et Java-bibliotek til serialisering af objekter til XML og tilbage igen, var sårbar over for udførelse af vilkårlige shellkommandoer, ved at manipulere med den behandlede inddatastrøm.

For yderligere dybdegående sikring anbefales det at skifte til hvidlistefremgangsmåden i XStreams sikkerhedsframework. For yderligere oplysninger, se https://github.com/x-stream/xstream/security/advisories/GHSA-mw36-7c6c-q4q2

I den stabile distribution (buster), er dette problem rettet i version 1.4.11.1-1+deb10u1.

Vi anbefaler at du opgraderer dine libxstream-java-pakker.

For detaljeret sikkerhedsstatus vedrørende libxstream-java, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/libxstream-java