Рекомендация Debian по безопасности

DSA-5004-1 libxstream-java -- обновление безопасности

Дата сообщения:
10.11.2021
Затронутые пакеты:
libxstream-java
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2021-39139, CVE-2021-39140, CVE-2021-39141, CVE-2021-39144, CVE-2021-39145, CVE-2021-39146, CVE-2021-39147, CVE-2021-39148, CVE-2021-39149, CVE-2021-39150, CVE-2021-39151, CVE-2021-39152, CVE-2021-39153, CVE-2021-39154, CVE-2021-21341, CVE-2021-21342, CVE-2021-21343, CVE-2021-21344, CVE-2021-21345, CVE-2021-21346, CVE-2021-21347, CVE-2021-21348, CVE-2021-21349, CVE-2021-21350, CVE-2021-21351, CVE-2021-29505.
Более подробная информация:

В XStream, Java-библиотеке для сериализации объектов в XML и обратно, были обнаружены многочисленные уязвимости.

Эти уязвимости могут позволить удалённому злоумышленнику загрузить и выполнить произвольный код с удалённого узла путём манипуляции обработанным входным потоком.

Сама XStream в настоящее время устанавливает белый список. То есть, она блокирует все классы за исключение тех, для чьих типов в библиотеке имеются преобразователи. Ранее она использовала по умолчанию чёрный список. То есть, пыталась блокировать все известные в настоящий момент критичные классы времени исполнения Java. Основная причина для установки чёрного списка состояла в обеспечении совместимости, это позволяло использовать более новые версии XStream в качестве упрощённой замены. Тем не менее этот подход не работает. Растущий список сообщений безопасности доказывает, что чёрный список в своей основе небезопасен, не говоря уже о том, что типы сторонних библиотек вообще даже не учитывались. Сценарий чёрного списка в будущем следует избегать, так как он даёт ложное чувство безопасности.

В предыдущем стабильном выпуске (buster) эти проблемы были исправлены в версии 1.4.11.1-1+deb10u3.

В стабильном выпуске (bullseye) эти проблемы были исправлены в версии 1.4.15-3+deb11u1.

Рекомендуется обновить пакеты libxstream-java.

С подробным статусом поддержки безопасности libxstream-java можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/libxstream-java