Säkerhetsbulletin från Debian

DSA-2842-1 libspring-java -- överbelastning

Rapporterat den:
2014-01-13
Berörda paket:
libspring-java
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 720902.
I Mitres CVE-förteckning: CVE-2013-4152.
Ytterligare information:

Alvaro Munoz upptäckte en injektion av externa XML-enheter (XXE) i ramverket spring som kan användas för att genomföra CSRF och DoS-angrepp på andra webbplatser.

Spring OXM-wrappern exponerade inte någon egenskap för att inaktivera enhetsresolution vid användning av JAXB-unmarshaller. Det finns fyra möjliga källkodsimplementationer som kan skickas till unmarshallern:

  • DOMSource
  • StAXSource
  • SAXSource
  • StreamSource

För en DOMSource har XMLen redan tolkats av användarkod och denna kod är ansvarig för att skydda mot XXE.

För en StAXSource, har en XMLStreamReader redan skapats av användarkod och denna kod är ansvarig för att skydda mot XXE.

För SAXSource och StreamSource-instanser, behandlade Spring externa enheter som standard och skapade därmed denna sårbarhet.

Problemet löstes genom att inaktivera behandling av externa enheter som standard och genom att lägga till ett alternativ för att aktivera dessa för dom användare som behöver använda denna funktion vid behandling av XML från en känd källa.

Det har även identifierats att Spring MVC behandlade användartillhandahållen XML med JAXB i kombination med StAX XMLInputFactory utan att inaktivera resolution av externa enheter. Resolution av externa enheter har inaktiverats i detta fall.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 3.0.6.RELEASE-6+deb7u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 3.0.6.RELEASE-10.

Vi rekommenderar att ni uppgraderar era libspring-java-paket.