Bulletin d'alerte Debian

DLA-1853-1 libspring-java -- Mise à jour de sécurité pour LTS

Date du rapport :

13 juillet 2019

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 760733, Bogue 769698, Bogue 796137, Bogue 849167.
Dans le dictionnaire CVE du Mitre : CVE-2014-3578, CVE-2014-3625, CVE-2015-3192, CVE-2015-5211, CVE-2016-9878.

Plus de précisions :

Des vulnérabilités ont été identifiées dans libspring-java, un cadriciel d’application Java/J2EE modulaire.

CVE-2014-3578
Une vulnérabilité de traversée de répertoires permet à des attaquants distants de lire des fichiers arbitraires à l'aide d'une URL contrefaite.
CVE-2014-3625
Une vulnérabilité de traversée de répertoires permet à des attaquants distants de lire des fichiers arbitraires à l’aide de vecteurs non précisés, relatifs au traitement de ressources statiques.
CVE-2015-3192
Un traitement incorrect de déclarations DTD inline lorsque DTD n’est pas totalement désactivé permet à des attaquants distants de provoquer un déni de service (consommation de mémoire et erreurs d’épuisement de mémoire) à l'aide d'un fichier XML contrefait.
CVE-2015-5211
Une vulnérabilité d’attaque par téléchargement de fichier par réflexion (RFD) permet à un utilisateur malveillant de contrefaire une URL avec une extension de script batch qui peut aboutir à ce que la réponse est téléchargée plutôt que rendue et inclut aussi un peu d’entrée réfléchie dans la réponse.
CVE-2016-9878
Une vérification incorrecte dans ResourceServlet permet des attaques par traversée de répertoires.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.0.6.RELEASE-17+deb8u1.

Nous vous recommandons de mettre à jour vos paquets libspring-java.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.