Debians sikkerhedsbulletin
DSA-5004-1 libxstream-java -- sikkerhedsopdatering
- Rapporteret den:
- 10. nov 2021
- Berørte pakker:
- libxstream-java
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2021-39139, CVE-2021-39140, CVE-2021-39141, CVE-2021-39144, CVE-2021-39145, CVE-2021-39146, CVE-2021-39147, CVE-2021-39148, CVE-2021-39149, CVE-2021-39150, CVE-2021-39151, CVE-2021-39152, CVE-2021-39153, CVE-2021-39154, CVE-2021-21341, CVE-2021-21342, CVE-2021-21343, CVE-2021-21344, CVE-2021-21345, CVE-2021-21346, CVE-2021-21347, CVE-2021-21348, CVE-2021-21349, CVE-2021-21350, CVE-2021-21351, CVE-2021-29505.
- Yderligere oplysninger:
-
Adskillige sikkerhedssårbarheder er opdaget i XStream, et Java-bibliotek til serialisering af objekter til XML, og tilbage igen.
Sårbarhederne kunne gøre det muligt for en fjernangriber at indlæse og udføre vilkårlig kode fra en fjern vært, kun ved at manipulere med den behandlede inddatastream.
XStream selv opsætter nu som standard en whitelist, dvs. den blokerer alle klasser bortset fra de typer, den har eksplicitte converters for. Den havde tidligere som standard en blacklist, dvs. den prøvede at blokere alle pt. kendte kritiske klasse hørende til Javas runtime. Den primære årsag til blacklisten var kompatibilitet, da det dermed var muligt uden videre at benytte nyere versioner af XStream som erstatning. Men den tilgang har fejlet. En voksende liste over sikkerhedsrapporter har vist, at en blackliste generelt er usikker, bortset fra det faktum at former af tredjepartsbiblioteker end ikke var taget i betragtning. Et blacklistscenraie bør generelt undgås, da det giver en falsk følelse af sikkerhed.
I den gamle stabile distribution (buster), er disse problemer rettet i version 1.4.11.1-1+deb10u3.
I den stabile distribution (bullseye), er disse problemer rettet i version 1.4.15-3+deb11u1.
Vi anbefaler at du opgraderer dine libxstream-java-pakker.
For detaljeret sikkerhedsstatus vedrørende libxstream-java, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/libxstream-java