Säkerhetsbulletin från Debian

DSA-2857-1 libspring-java -- flera sårbarheter

Rapporterat den:
2014-02-08
Berörda paket:
libspring-java
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2013-6429, CVE-2013-6430.
Ytterligare information:

Det upptäcktes av Springs utvecklarteam att rättningen för XML External Entity (XXE)-injektion (CVE-2013-4152) i Spring-ramverket inte var komplett.

Spring MVC's SourceHttpMessageConverter behandlade även användartillhandahållen XML och stängde varken av externa XML-enheter eller gav ett alternativ för att inaktivera dem. SourceHttpMessageConverter har modifierats för att tillhandahålla en inställning för att kontrollera behandlingen av externa XML-enheter och den behandlingen är nu inaktiverad som standard.

Utöver detta upptäckte Jon Passki en möjlig XSS-sårbarhet: Metoden JavaScriptUtils.javaScriptEscape() kapslade inte in alla tecken som är känsliga inom antingen en JS-sträng med antingen enkla eller dubbla citattecken, eller en HTML-skriptdatakontext. I de flesta fall kommer detta resultera i en oexploaterbart tolkningsfel men i vissa fall kunde det leda till en XSS-sårbarhet.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 3.0.6.RELEASE-6+deb7u2.

För uttestningsutgåvan (Jessie) har dessa problem rättats i version 3.0.6.RELEASE-11.

För den instabila utgåvan (Sid) har dessa problem rättats i version 3.0.6.RELEASE-11.

Vi rekommenderar att ni uppgraderar era libspring-java-paket.