Debians sikkerhedsbulletin

DSA-2504-1 libspring-2.5-java -- informationsafsløring

Rapporteret den:
28. jun 2012
Berørte pakker:
libspring-2.5-java
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 677814.
I Mitres CVE-ordbog: CVE-2011-2730.
Yderligere oplysninger:

Man opdagede, at Spring Framework indeholdt en informationsafsløringssårbarhed i behandlingen af visse Expression Language-mønstre (EL), hvilket gjorde det muligt for angribere, at tilgå følsomme oplysninger ved hjælp af HTTP-forespørgsler.

BEMÆRK: Opdateringen tilføjer et context-parameter springJspExpressionSupport, der manult skal sættes til false når Spring Framework kører under en container, som selv leverer EL-understøttelse.

I den stabile distribution (squeeze), er dette problem rettet i version 2.5.6.SEC02-2+squeeze1.

Vi anbefaler at du opgraderer dine libspring-2.5-java-pakker.