Aviso de seguridad de Debian
DSA-4811-1 libxstream-java -- actualización de seguridad
- Fecha del informe:
- 15 de dic de 2020
- Paquetes afectados:
- libxstream-java
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2020-26217.
- Información adicional:
-
Se descubrió que la lista negra por omisión de XStream, una biblioteca Java para serialización de objetos a XML y su reconstrucción, era vulnerable a ejecución de órdenes arbitrarias del intérprete de órdenes («shell») mediante la manipulación del flujo de datos de entrada («input stream») procesado.
Como una defensa en profundidad adicional, se recomienda cambiar a la estrategia de lista blanca que proporciona la infraestructura de soporte de seguridad de XStream. Para información adicional, consulte https://github.com/x-stream/xstream/security/advisories/GHSA-mw36-7c6c-q4q2
Para la distribución «estable» (buster), este problema se ha corregido en la versión 1.4.11.1-1+deb10u1.
Le recomendamos que actualice los paquetes de libxstream-java.
Para información detallada sobre el estado de seguridad de libxstream-java, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/libxstream-java