Bulletin d'alerte Debian

DSA-2857-1 libspring-java -- Plusieurs vulnérabilités

Date du rapport :
8 février 2014
Paquets concernés :
libspring-java
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-6429, CVE-2013-6430.
Plus de précisions :

L'équipe de développement de Spring a découvert que le correctif pour l'injection d'entités externes XML (XXE) (CVE-2013-4152) dans la plateforme Spring était incomplet.

SourceHttpMessageConverter de Spring MVC traitait aussi le XML fourni par l'utilisateur, ne désactivait jamais les entités externes XML et n'offrait pas d'option pour les désactiver. SourceHttpMessageConverter a été modifié pour offrir une option de contrôle du traitement des entités externes XML et ce traitement est désactivé par défaut.

De plus, Jon Passki a découvert une possible vulnérabilité XSS : La méthode JavaScriptUtils.javaScriptEscape() ne protège pas tous les caractères sensibles à l'intérieur d'une chaîne Java Script entre guillemets simples, d'une chaîne Java Script entre guillemets doubles ou dans un contexte de données de script HTML. Dans la plupart des cas, cela peut déboucher sur une erreur d'analyse inexploitable ; mais dans certains cas, cela pourrait avoir pour conséquence une vulnérabilité XSS.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.0.6.RELEASE-6+deb7u2.

Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 3.0.6.RELEASE-11.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.0.6.RELEASE-11.

Nous vous recommandons de mettre à jour vos paquets libspring-java.