Debian DLA-2616-1：libxstream-java 安全性更新

critical Nessus Plugin ID 148312

語系：

概要

遠端 Debian 主機缺少一個安全性更新。

說明

XStream 中有一個弱點，允許遠端攻擊者僅透過操控已處理的輸入資料流來從遠端主機載入並執行任意程式碼。

java.io.InputStream、java.nio.channels.Channel、javax.activation.DataSource 和 javax.sql.rowsel.BaseRowSet 的類型階層及個別類型 com.sun.corba.se.impl.activation.ServerTableEntry、com.sun.tools.javac.processing.JavacProcessingEnvironment$NameProcessI terator、sun.awt.datatransfer.DataTransferer$IndexOrderComparator 和 sun.swing.SwingLazyValue 現已列入黑名單。此外，JAXB 的內部類型 Accessor$GetterSetterReflection 、JAX-WS 的內部類型 MethodGetter$PrivilegedGetter 和 ServiceFinder$ServiceNameIterator 、javafx.collections.ObservableList 的所有內部類別，以及私人 BCEL 複本中使用的內部 ClassLoader 現在都是預設黑名單的一部分，包含其中一個類型的還原序列化將會失敗。如果需要，您必須透過明確的組態啟用這些類型。

針對 Debian 9 Stretch，已在 1.4.11.1-1+deb9u2 版本中修正這些問題。

建議您升級 libxstream-java 套件。

如需有關 libxstream-java 安全性狀態的詳細資訊，請參閱其安全追蹤頁面：
https://security-tracker.debian.org/tracker/libxstream-java

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。