Säkerhetsbulletin från Debian

DSA-2504-1 libspring-2.5-java -- utlämnande av information

Rapporterat den:
2012-06-28
Berörda paket:
libspring-2.5-java
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 677814.
I Mitres CVE-förteckning: CVE-2011-2730.
Ytterligare information:

Man har upptäckt att Spring Framework innehåller en sårbarhet för avslöjande av information i behandlingen av vissa Expression Language (EL)-mönster, vilket tillåter angripare att få åtkomst till känslig information med hjälp av HTTP-förfrågningar.

NOTERA: Denna uppdatering lägger till en springJspExpressionSupport-contextparameter som manuellt måste sättas till false när Spring Framework körs under en behållare som tillhandahåller EL-stöd själv.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.5.6.SEC02-2+squeeze1.

Vi rekommenderar att ni uppgraderar era libspring-2.5-java-paket.