Рекомендация Debian по безопасности

DSA-2857-1 libspring-java -- несколько уязвимостей

Дата сообщения:
08.02.2014
Затронутые пакеты:
libspring-java
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2013-6429, CVE-2013-6430.
Более подробная информация:

Командой разработки Spring было обнаружено, что исправление инъекции внешней сущности XML (XXE) (CVE-2013-4152) в Spring Framework было не полным.

Spring MVC SourceHttpMessageConverter также обрабатывает предоставляемые пользователем XML-файлы и ни отключает внешние сущности XML, ни даёйт возможности отключить их. SourceHttpMessageConverter был изменён следующим образом: была предоставлена возможность управления обработкой внешних сущностей XML, по умолчанию эта обработка отключена.

Кроме того, Джон Пасски обнаружил возможную уязвимость XSS: метод JavaScriptUtils.javaScriptEscape() не экранирует все символы, являющиеся чувствительными в строках JS, помещённых в одинарные кавычки, двойные кавычки, а также в контексте данных сценария HTML. В большинстве случаев это приводит к ошибке грамматического разбора, но иногда это может привести к уязвимости XSS.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 3.0.6.RELEASE-6+deb7u2.

В тестируемом выпуске (jessie) эти проблемы были исправлены в версии 3.0.6.RELEASE-11.

В тестируемом выпуске (sid) эти проблемы были исправлены в версии 3.0.6.RELEASE-11.

Рекомендуется обновить пакеты libspring-java.