Debians sikkerhedsbulletin

DSA-2857-1 libspring-java -- flere sårbarheder

Rapporteret den:
8. feb 2014
Berørte pakker:
libspring-java
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2013-6429, CVE-2013-6430.
Yderligere oplysninger:

Springs udviklingshold opdagede at rettelsen til XML External Entity (XXE) Injection (CVE-2013-4152) i Spring Framework, ikke var fuldstændig.

Spring MVC's SourceHttpMessageConverter behandlede også brugerleveret XML, og deaktiverede hverken eksterne XML-entiteter eller gav mulighed for at deaktivere dem. SourceHttpMessageConverter er ændret til at give mulighed for at kontrollere behandlingen af eksterne XML-entiteter, og behandlingen er nu deaktiveret som standard.

Desuden opdagede Jon Passki en mulig XSS-sårbarhed: Metoden JavaScriptUtils.javaScriptEscape() indkapslede ikke alle tegn, som er følsomme inden for enten en JS-streng med enkelte eller dobbelte anførselstegn eller en HTML-skriptdatakontekst. I de fleste tilfælde ville det medføre en fortolkningsfejl, der ikke kan udnyttes, men i nogle situationer kunne det medføre en XSS-sårbarhed.

I den stabile distribution (wheezy), er disse problemer rettet i version 3.0.6.RELEASE-6+deb7u2.

I distributionen testing (jessie), er disse problemer rettet i version 3.0.6.RELEASE-11.

I den ustabile distribution (sid), er disse problemer rettet i version 3.0.6.RELEASE-11.

Vi anbefaler at du opgraderer dine libspring-java-pakker.