Sikkerhedsoplysninger / 2022 / Sikkerhedsoplysninger -- DSA-5227-1 libgoogle-gson-java

Debians sikkerhedsbulletin

DSA-5227-1 libgoogle-gson-java -- sikkerhedsopdatering

Rapporteret den:

7. sep 2022

Berørte pakker:

libgoogle-gson-java

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 1010670.
I Mitres CVE-ordbog: CVE-2022-25647.

Yderligere oplysninger:

Man opdagede at Gson, et Java-bibliotek der kan anvendes til at konvertere Java-objekter til deres JSON-repræsentationer og omvendt, var sårbar over for en deserialiseringsfejl. En applikation kunne deserialisere data, der ikke er tillid til, uden på tilstrækkelig vis at kontrollere, at de dannede data var gyldige, dermed kunne angriberen få kontrol over tilstanden eller afviklingen af udførelsen. Det kunne føre til et lammelsesangreb eller endda udførelse af vilkårlig kode.

I den stabile distribution (bullseye), er dette problem rettet i version 2.8.6-1+deb11u1.

Vi anbefaler at du opgraderer dine libgoogle-gson-java-pakker.

For detaljeret sikkerhedsstatus vedrørende libgoogle-gson-java, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/libgoogle-gson-java