Aviso de seguridad de Debian

DSA-4811-1 libxstream-java -- actualización de seguridad

Fecha del informe:
15 de dic de 2020
Paquetes afectados:
libxstream-java
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2020-26217.
Información adicional:

Se descubrió que la lista negra por omisión de XStream, una biblioteca Java para serialización de objetos a XML y su reconstrucción, era vulnerable a ejecución de órdenes arbitrarias del intérprete de órdenes («shell») mediante la manipulación del flujo de datos de entrada («input stream») procesado.

Como una defensa en profundidad adicional, se recomienda cambiar a la estrategia de lista blanca que proporciona la infraestructura de soporte de seguridad de XStream. Para información adicional, consulte https://github.com/x-stream/xstream/security/advisories/GHSA-mw36-7c6c-q4q2

Para la distribución «estable» (buster), este problema se ha corregido en la versión 1.4.11.1-1+deb10u1.

Le recomendamos que actualice los paquetes de libxstream-java.

Para información detallada sobre el estado de seguridad de libxstream-java, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/libxstream-java