Рекомендация Debian по безопасности
DSA-5004-1 libxstream-java -- обновление безопасности
- Дата сообщения:
- 10.11.2021
- Затронутые пакеты:
- libxstream-java
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2021-39139, CVE-2021-39140, CVE-2021-39141, CVE-2021-39144, CVE-2021-39145, CVE-2021-39146, CVE-2021-39147, CVE-2021-39148, CVE-2021-39149, CVE-2021-39150, CVE-2021-39151, CVE-2021-39152, CVE-2021-39153, CVE-2021-39154, CVE-2021-21341, CVE-2021-21342, CVE-2021-21343, CVE-2021-21344, CVE-2021-21345, CVE-2021-21346, CVE-2021-21347, CVE-2021-21348, CVE-2021-21349, CVE-2021-21350, CVE-2021-21351, CVE-2021-29505.
- Более подробная информация:
-
В XStream, Java-библиотеке для сериализации объектов в XML и обратно, были обнаружены многочисленные уязвимости.
Эти уязвимости могут позволить удалённому злоумышленнику загрузить и выполнить произвольный код с удалённого узла путём манипуляции обработанным входным потоком.
Сама XStream в настоящее время устанавливает белый список. То есть, она блокирует все классы за исключение тех, для чьих типов в библиотеке имеются преобразователи. Ранее она использовала по умолчанию чёрный список. То есть, пыталась блокировать все известные в настоящий момент критичные классы времени исполнения Java. Основная причина для установки чёрного списка состояла в обеспечении совместимости, это позволяло использовать более новые версии XStream в качестве упрощённой замены. Тем не менее этот подход не работает. Растущий список сообщений безопасности доказывает, что чёрный список в своей основе небезопасен, не говоря уже о том, что типы сторонних библиотек вообще даже не учитывались. Сценарий чёрного списка в будущем следует избегать, так как он даёт ложное чувство безопасности.
В предыдущем стабильном выпуске (buster) эти проблемы были исправлены в версии 1.4.11.1-1+deb10u3.
В стабильном выпуске (bullseye) эти проблемы были исправлены в версии 1.4.15-3+deb11u1.
Рекомендуется обновить пакеты libxstream-java.
С подробным статусом поддержки безопасности libxstream-java можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/libxstream-java