Debian DLA-352-1：libcommons-collections3-java 安全性更新

high Nessus Plugin ID 87073

語系：

概要

遠端 Debian 主機缺少一個安全性更新。

說明

Apache Commons 集合受到安全性問題的影響，而使得應用程式接受來自未受信任來源的序列化物件。
遠端攻擊者可能利用這些問題執行任意 Java 函式，甚至插入受到操控的位元組程式碼。

此 libcommons-collection3-java 版本會停用還原序列化 functor 類別 (除非系統內容 org.apache.commons.collections.enableUnsafeSerialization 設為「true」)，可防止這些問題發生。被視為不安全的類別有：CloneTransformer、ForClosure、InstantiateFactory、InstantiateTransformer、InvokerTransformer、PrototypeCloneFactory、PrototypeSerializationFactory 與 WhileClosure。

針對 Debian 6 'Squeeze'，這些問題已在 libcommons-collections3-java 的 3.2.1-4+deb6u1 版本中修正。我們建議您升級 libcommons-collections3-java 套件。

如需深入瞭解 Debian Long Term Support (LTS) 專案以及套用這些更新的方式，請造訪：https://wiki.debian.org/LTS/

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

解決方案

升級受影響的套件。

另請參閱

https://lists.debian.org/debian-lts-announce/2015/11/msg00012.html

http://www.nessus.org/u?547eb83a

https://wiki.debian.org/LTS/

Plugin 詳細資訊

嚴重性: High

ID: 87073

檔案名稱: debian_DLA-352.nasl

版本: 2.4

類型: local

代理程式: unix

系列: Debian Local Security Checks

已發布: 2015/11/30

已更新: 2021/1/11

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:libcommons-collections3-java, p-cpe:/a:debian:debian_linux:libcommons-collections3-java-doc, cpe:/o:debian:debian_linux:6.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

修補程式發佈日期: 2015/11/26