Une désérialisation non fiable a été découverte dans la méthode org.apache.xmlrpc.parser.XmlRpcResponseParser:addResult de la bibliothèque d’Apache XML-RPC (alias ws-xmlrpc). Un serveur XML-RPC malveillant pourrait cibler un client XML-RPC et le forcer à une exécution de code arbitraire.
Les clients, prévoyant d’obtenir des exceptions du côté serveur, ont besoin d’activer la propriété enabledForExceptions afin de traiter de nouveau des messages d’exception sérialisés.
Pour Debian 8 Jessie
, ce problème a été corrigé dans
la version 3.1.3-7+deb8u1.
Nous vous recommandons de mettre à jour vos paquets libxmlrpc3-java.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.