FreeBSD：bsh -- 远程代码执行漏洞 (9e5bbffc-d8ac-11e5-b2bd-002590263bf5)

high Nessus 插件 ID 88877

语言：

简介

远程 FreeBSD 主机缺少与安全相关的更新。

描述

Stian Soiland-Reyes 报告：

此版本可修复一个远程代码执行漏洞，该漏洞由 Alvaro Munoz 和 Christian Schneider 在 BeanShell 中发现。BeanShell 团队在此感谢他们对此补丁的帮助和贡献！

如果在类路径中包含 BeanShell 的应用程序的其他部分使用 Java 序列化或 XStream 对来自不受信任数据源的数据进行反序列化，则该应用程序可能容易受到攻击。

攻击者可利用有漏洞的应用程序执行远程代码，包括执行任意 shell 命令。

此更新可修复 BeanShell 中的漏洞，不过值得注意的是，执行此类反序列化的应用程序在其他库可能仍不安全。建议应用程序开发人员采取进一步的措施，例如在反序列化时使用受限的类装载器。请参阅有关 Java 序列化安全性 XStream 安全的注意事项，以及如何在不使用加密或密封的情况下确保从未受信任输入安全地进行反序列化。