Il a été découvert qu’il existait une vulnérabilité d’entité externe XML dans log4net, une API de connexion pour la CLI (Common Language Infrastructure) ECMA, quelques fois appelée « Mono ».
Apache log4net avant la version 2.0.8 ne désactivait pas les entités externes XML lors de l’analyse de fichiers de configuration de log4net. Cela pourrait permettre des attaques basées sur des entités externes dans les applications qui acceptent des fichiers de configuration arbitraires d’utilisateurs.
Pour Debian 8 Jessie
, ces problèmes ont été corrigés dans
la version 1.2.10+dfsg-6+deb8u1.
Nous vous recommandons de mettre à jour vos paquets log4net.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.