Рекомендация Debian по безопасности

DSA-2890-1 libspring-java -- обновление безопасности

Дата сообщения:
29.03.2014
Затронутые пакеты:
libspring-java
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 741604.
В каталоге Mitre CVE: CVE-2014-0054, CVE-2014-1904.
Более подробная информация:

В libspring-java, пакете Debian для инфраструктуры Java Spring, были обнаружены две уязвимости.

  • CVE-2014-0054

    Jaxb2RootElementHttpMessageConverter в Spring MVC обрабатывает внешние сущности XML.

  • CVE-2014-1904

    Spring MVC добавляет уязвимость, состоящую в межсайтовом скриптинге, в случае если не определено действие над формой Spring.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 3.0.6.RELEASE-6+deb7u3.

В тестируемом (jessie) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 3.0.6.RELEASE-13.

Рекомендуется обновить пакеты libspring-java.