アプリケーションで逆シリアル化が発生すると場所を問わず、Java Virtual Machine 用の動的な言語である Apache Groovy ライブラリの欠陥によりリモートでコードが実行される可能性があることが判明しました。攻撃者が特別なシリアル化されたオブジェクトを作成し、逆シリアル化時にコードを直接実行する可能性があります。シリアル化を利用し、オブジェクトを逆シリアル化するコードを分離しないアプリケーションはすべて、この脆弱性の影響を受けます。Debian 7 'Wheezy' では、これらの問題はバージョン 1.8.6-1+deb7u2 で修正されています。groovy パッケージをアップグレードすることを推奨します。注 : Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

検出

Debian DLA-794-1 : groovy セキュリティ更新

critical Nessus プラグイン ID 96666

バージョン 3.8