Sikkerhedsoplysninger / 2012 / Sikkerhedsoplysninger -- DSA-2504-1 libspring-2.5-java

Debians sikkerhedsbulletin

DSA-2504-1 libspring-2.5-java -- informationsafsløring

Rapporteret den:

28. jun 2012

Berørte pakker:

libspring-2.5-java

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 677814.
I Mitres CVE-ordbog: CVE-2011-2730.

Yderligere oplysninger:

Man opdagede, at Spring Framework indeholdt en informationsafsløringssårbarhed i behandlingen af visse Expression Language-mønstre (EL), hvilket gjorde det muligt for angribere, at tilgå følsomme oplysninger ved hjælp af HTTP-forespørgsler.

BEMÆRK: Opdateringen tilføjer et context-parameter springJspExpressionSupport, der manult skal sættes til false når Spring Framework kører under en container, som selv leverer EL-understøttelse.

I den stabile distribution (squeeze), er dette problem rettet i version 2.5.6.SEC02-2+squeeze1.

Vi anbefaler at du opgraderer dine libspring-2.5-java-pakker.