Säkerhetsbulletin från Debian
DSA-2359-1 mojarra -- EL-injektion
- Rapporterat den:
- 2011-12-06
- Berörda paket:
- mojarra
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2011-4358.
- Ytterligare information:
-
Man har upptäckt att Mojarra, en implementation av JavaServer Faces, utvärderar opålitliga värden som EL-uttryck om includeViewParameters är satt till sant (true).
För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.0.3-1+squeeze1.
För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid) har detta problem rättats i version 2.0.3-2.
Vi rekommenderar att ni uppgraderar era mojarra-paket.