Рекомендация Debian по безопасности

DSA-4811-1 libxstream-java -- обновление безопасности

Дата сообщения:
15.12.2020
Затронутые пакеты:
libxstream-java
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2020-26217.
Более подробная информация:

Было обнаружено, что список блокировки по умолчанию в XStream, Java-библиотеке для сериализации объектов в XML и обратно, уязвим к выполнению произвольных команд командной оболочки путём изменения обрабатываемого входного потока.

Для дополнительной глубокой защиты рекомендуется перейти на использование списков разрешений для системы безопасности XStream. За дополнительной информацией обращайтесь по адресу https://github.com/x-stream/xstream/security/advisories/GHSA-mw36-7c6c-q4q2

В стабильном выпуске (buster) эта проблема была исправлена в версии 1.4.11.1-1+deb10u1.

Рекомендуется обновить пакеты libxstream-java.

С подробным статусом поддержки безопасности libxstream-java можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/libxstream-java