Рекомендация Debian по безопасности

DSA-2504-1 libspring-2.5-java -- раскрытие информации

Дата сообщения:
28.06.2012
Затронутые пакеты:
libspring-2.5-java
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 677814.
В каталоге Mitre CVE: CVE-2011-2730.
Более подробная информация:

Было обнаружено, что Spring Framework подвержена раскрытию информации, которая происходит при обработке определённых шаблонов Expression Language (EL), что позволяет злоумышленникам получить доступ к чувствительной информации, используя запросы HTTP.

ВНИМАНИЕ: данное обновление добавляет контекстный параметр springJspExpressionSupport, который должен быть вручную выставлен в значение false в случае, когда Spring Framework запущена в контейнере, предоставляющем поддержку EL.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.5.6.SEC02-2+squeeze1.

Рекомендуется обновить пакеты libspring-2.5-java.