Информация по безопасности / 2012 / Информация о безопасности -- DSA-2504-1 libspring-2.5-java

Рекомендация Debian по безопасности

DSA-2504-1 libspring-2.5-java -- раскрытие информации

Дата сообщения:

28.06.2012

Затронутые пакеты:

libspring-2.5-java

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 677814.
В каталоге Mitre CVE: CVE-2011-2730.

Более подробная информация:

Было обнаружено, что Spring Framework подвержена раскрытию информации, которая происходит при обработке определённых шаблонов Expression Language (EL), что позволяет злоумышленникам получить доступ к чувствительной информации, используя запросы HTTP.

ВНИМАНИЕ: данное обновление добавляет контекстный параметр springJspExpressionSupport, который должен быть вручную выставлен в значение false в случае, когда Spring Framework запущена в контейнере, предоставляющем поддержку EL.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.5.6.SEC02-2+squeeze1.

Рекомендуется обновить пакеты libspring-2.5-java.