Debians sikkerhedsbulletin

DSA-2890-1 libspring-java -- sikkerhedsopdatering

Rapporteret den:
29. mar 2014
Berørte pakker:
libspring-java
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 741604.
I Mitres CVE-ordbog: CVE-2014-0054, CVE-2014-1904.
Yderligere oplysninger:

To sårbarheder blev opdaget i libspring-java, Debian-pakken indeholdende Java Spring-frameworket.

  • CVE-2014-0054

    Jaxb2RootElementHttpMessageConverter i Spring MVC behandlede eksterne XML-entiteter.

  • CVE-2014-1904

    Spring MVC indeholdt en sårbarhed i forbindelse med udførelse af skripter på tværs af websteder, såfremt der ikke var angivet en handling på en Spring-formular.

I den stabile distribution (wheezy), er disse problemer rettet i version 3.0.6.RELEASE-6+deb7u3.

I distributionen testing (jessie) og i den ustabile distribution (sid), er disse problemer rettet i version 3.0.6.RELEASE-13.

Vi anbefaler at du opgraderer dine libspring-java-pakker.