Bulletin d'alerte Debian

DSA-4811-1 libxstream-java -- Mise à jour de sécurité

Date du rapport :
15 décembre 2020
Paquets concernés :
libxstream-java
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-26217.
Plus de précisions :

La liste noire par défaut de XStream, une bibliothèque Java pour sérialiser des objets vers et depuis XML, était vulnérable à l'exécution de commandes d'interpréteur arbitraires en manipulant le flux d'entrée traité.

Pour une défense en profondeur supplémentaire, il est recommandé de passer à l'approche par liste blanche du cadriciel de sécurité d’XStream. Pour davantage d'informations, veuillez consulter https://github.com/x-stream/xstream/security/advisories/GHSA-mw36-7c6c-q4q2

Pour la distribution stable (Buster), ce problème a été corrigé dans la version 1.4.11.1-1+deb10u1.

Nous vous recommandons de mettre à jour vos paquets libxstream-java.

Pour disposer d'un état détaillé sur la sécurité de libxstream-java, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libxstream-java.