Debian セキュリティ勧告

DSA-2504-1 libspring-2.5-java -- 情報の漏洩

報告日時:
2012-06-28
影響を受けるパッケージ:
libspring-2.5-java
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 677814.
Mitre の CVE 辞書: CVE-2011-2730.
詳細:

Spring フレームワークの Expression Language (EL) 処理に、情報の漏洩に つながる欠陥が発見されました。 細工した HTTP リクエストにより攻撃可能 で、機密情報へのアクセスが行えます。

注記;この更新では、springJspExpressionSupport コンテキストパラメータ が追加されていますが、Spring フレームワークを EL サポートを提供するコ ンテナ下で実行する場合には、このパラメータは手動で必ず false に設定し てください。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 2.5.6.SEC02-2+squeeze1 で修正されています。

直ぐに libspring-2.5-java パッケージをアップグレードすることを勧めます。