DebianDLA-2616-1：libxstream-java セキュリティ更新

critical Nessus プラグイン ID 148312

Language:

概要

リモートのDebianホストにセキュリティ更新プログラムがありません。

説明

XStream には、リモートの攻撃者が処理済みの入力ストリームを操作して、リモートホストから任意のコードを読み込み実行する脆弱性があります。

java.io.InputStream、java.nio.channels.Channel、javax.activation.DataSource および javax.sql.rowsel.BaseRowSet のタイプ階層が、個々のタイプの com.sun.corba.se.impl.activation.ServerTableEntry、com.sun.tools.javac.processing.JavacProcessingEnvironment$NameProcessI terator, sun.awt.datatransfer.DataTransferer$IndexOrderComparator、および sun.swing.SwingLazyValue とともにブラックリストに追加されました。さらに、JAXB の内部型 Accessor $GetterSetterReflection、JAX-WS の内部型 MethodGetter $PrivilegedGetter および ServiceFinder $ServiceNameIterator、プライベート BCEL コピーで使用される javafx.collections.ObservableList のすべての内部クラス、および内部 ClassLoader がデフォルトの一部になりました。ブラックリストおよびいずれかのタイプを含む XML の逆シリアル化が失敗します。これらのタイプが必要な場合は、明示的な構成で有効にする必要があります。

Debian 9 stretch では、これらの問題はバージョン 1.4.11.1-1+deb9u2 で修正されています。

お使いの libxstream-java パッケージをアップグレードすることを推奨します。

libxstream-javaの詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください：
https://security-tracker.debian.org/tracker/libxstream-java

注：Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。