セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2504-1 libspring-2.5-java

Debian セキュリティ勧告

DSA-2504-1 libspring-2.5-java -- 情報の漏洩

報告日時:

2012-06-28

影響を受けるパッケージ:

libspring-2.5-java

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 677814.
Mitre の CVE 辞書: CVE-2011-2730.

詳細:

Spring フレームワークの Expression Language (EL) 処理に、情報の漏洩に つながる欠陥が発見されました。 細工した HTTP リクエストにより攻撃可能 で、機密情報へのアクセスが行えます。

注記；この更新では、springJspExpressionSupport コンテキストパラメータ が追加されていますが、Spring フレームワークを EL サポートを提供するコ ンテナ下で実行する場合には、このパラメータは手動で必ず false に設定し てください。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 2.5.6.SEC02-2+squeeze1 で修正されています。

直ぐに libspring-2.5-java パッケージをアップグレードすることを勧めます。