Säkerhetsbulletin från Debian

DSA-2890-1 libspring-java -- säkerhetsuppdatering

Rapporterat den:
2014-03-29
Berörda paket:
libspring-java
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 741604.
I Mitres CVE-förteckning: CVE-2014-0054, CVE-2014-1904.
Ytterligare information:

Två sårbarheter upptäcktes i libspring-java, Debianpaketet för Java Spring-ramverket.

  • CVE-2014-0054

    Jaxb2RootElementHttpMessageConverter i Spring MVC behandlar externa XML-enheter.

  • CVE-2014-1904

    Spring MVC introduces a serveröverskridande skriptsårbarhet if the action on a Spring form is not specified.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 3.0.6.RELEASE-6+deb7u3.

För uttestningsutgåvan (Jessie) och den instabila utgåvan (Sid) har dessa problem rättats i version 3.0.6.RELEASE-13.

Vi rekommenderar att ni uppgraderar era libspring-java-paket.