Debian セキュリティ勧告

DSA-2857-1 libspring-java -- 複数の脆弱性

報告日時:
2014-02-08
影響を受けるパッケージ:
libspring-java
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2013-6429, CVE-2013-6430.
詳細:

Spring 開発チームにより、Spring Framework の XML 外部エンティティ (XXE) インジェクション (CVE-2013-4152) の修正が不完全であったことが発見されました。

Spring MVC の SourceHttpMessageConverter でもユーザから提供された XML を処理し、XML 外部エンティティの無効化や無効化するためのオプションを提供していませんでした。 SourceHttpMessageConverter が変更されて XML 外部エンティティの処理を無効化するためのオプションが提供され、 処理は現在デフォルトでは無効化されています。

さらに、Jon Passki さんが XSS 脆弱性の可能性を発見しました: javascriptUtils.javascriptEscape() メソッドは JS の単引用符や二重引用符で囲まれた文字列や HTML スクリプトデータ中の危険な文字を全てエスケープしてはいません。 ほとんどの場合これは悪用不可能な解析エラーになりますが場合によっては XSS 脆弱性につながる可能性があります。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 3.0.6.RELEASE-6+deb7u2 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題はバージョン 3.0.6.RELEASE-11 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 3.0.6.RELEASE-11 で修正されています。

直ちに libspring-java パッケージをアップグレードすることを勧めます。