Debian DLA-2616-1：libxstream-java 安全更新

critical Nessus 插件 ID 148312

语言：

简介

远程 Debian 主机缺少安全更新。

描述

XStream 中存在一个漏洞，此漏洞可能允许远程攻击者仅通过操纵处理过的输入流便可从远程主机加载并执行任意代码。

java.io.InputStream、java.nio.channels.Channel、javax.activation.DataSource 和 javax.sql.rowsel.BaseRowSet 现已被列入黑名单，各个类型 com.sun.corba.se.impl.activation.ServerTableEntry、com.sun.tools.javac.processing.JavacProcessingEnvironment$NameProcessI terator、sun.awt.datatransfer.DataTransferer$IndexOrderComparator 和 sun.swing.SwingLazyValue 也不例外。此外，JAXB 的内部类型 Accessor$GetterSetterReflection、JAX-WS 的内部类型 MethodGetter$PrivilegedGetter 和 ServiceFinder$ServiceNameIterator，以及私有 BCEL 副本中使用的所有内部类和内部 ClassLoader，现在均位于默认黑名单中，并且包含其中一种类型的 XML 反序列化将失败。如果需要，必须通过显式配置启用这些类型。

对于 Debian 9 Stretch，已在版本 1.4.11.1-1+deb9u2 中修复这些问题。

建议您升级 libxstream-java 程序包。

如需了解 libxstream-java 的详细安全状态，请参阅其安全跟踪页面：
https://security-tracker.debian.org/tracker/libxstream-java

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动清理和排版。