Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Описание
Данное обновление представляет собой обратный перенос изменений из commons-collections версии
3.2.2, которые отключают десериализацию функций классов за исключением тех случае,
когда системное свойство org.apache.commons.collections.enableUnsafeSerialization
имеет значение true. Эти изменения исправляют уязвимость в небезопасных приложений,
десериализирующих объекты из недоверенных источников без выполнения очистки
входных данных. Классы, считающиеся небезопасными: CloneTransformer, ForClosure,
InstantiateFactory, InstantiateTransformer, InvokerTransformer,
PrototypeCloneFactory, PrototypeSerializationFactory и WhileClosure.
В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена
в версии 3.2.1-5+deb7u1.
В стабильном выпуске (jessie) эта проблема была исправлена в
версии 3.2.1-7+deb8u1.
В тестируемом выпуске (stretch) эта проблема была исправлена
в версии 3.2.2-1.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 3.2.2-1.
Рекомендуется обновить пакеты libcommons-collections3-java.
3.2.2, которые отключают десериализацию функций классов за исключением тех случае,
когда системное свойство org.apache.commons.collections.enableUnsafeSerialization
имеет значение true. Эти изменения исправляют уязвимость в небезопасных приложений,
десериализирующих объекты из недоверенных источников без выполнения очистки
входных данных. Классы, считающиеся небезопасными: CloneTransformer, ForClosure,
InstantiateFactory, InstantiateTransformer, InvokerTransformer,
PrototypeCloneFactory, PrototypeSerializationFactory и WhileClosure.
В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена
в версии 3.2.1-5+deb7u1.
В стабильном выпуске (jessie) эта проблема была исправлена в
версии 3.2.1-7+deb8u1.
В тестируемом выпуске (stretch) эта проблема была исправлена
в версии 3.2.2-1.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 3.2.2-1.
Рекомендуется обновить пакеты libcommons-collections3-java.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
libcommons-collections3-java - 3.2.1-7+deb8u1
Debian GNU/Linux 7:
noarch:
libcommons-collections3-java - 3.2.1-5+deb7u1
Debian GNU/Linux 8:
noarch:
libcommons-collections3-java - 3.2.1-7+deb8u1
Debian GNU/Linux 7:
noarch:
libcommons-collections3-java - 3.2.1-5+deb7u1
