Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2359-1 mojarra

Bulletin d'alerte Debian

DSA-2359-1 mojarra -- Injection d'EL

Date du rapport :

6 décembre 2011

Paquets concernés :

mojarra

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-4358.

Plus de précisions :

Mojarra, une implémentation de JavaServer Faces, évalue des données qui ne sont pas de confiance en tant qu'expressions EL si includeViewParameters est configuré à vrai.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.0.3-1+squeeze1.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 2.0.3-2.

Nous vous recommandons de mettre à jour vos paquets mojarra.