Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2890-1 libspring-java

Debians sikkerhedsbulletin

DSA-2890-1 libspring-java -- sikkerhedsopdatering

Rapporteret den:

29. mar 2014

Berørte pakker:

libspring-java

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 741604.
I Mitres CVE-ordbog: CVE-2014-0054, CVE-2014-1904.

Yderligere oplysninger:

To sårbarheder blev opdaget i libspring-java, Debian-pakken indeholdende Java Spring-frameworket.

• CVE-2014-0054

  Jaxb2RootElementHttpMessageConverter i Spring MVC behandlede eksterne XML-entiteter.

• CVE-2014-1904

  Spring MVC indeholdt en sårbarhed i forbindelse med udførelse af skripter på tværs af websteder, såfremt der ikke var angivet en handling på en Spring-formular.

I den stabile distribution (wheezy), er disse problemer rettet i version 3.0.6.RELEASE-6+deb7u3.

I distributionen testing (jessie) og i den ustabile distribution (sid), er disse problemer rettet i version 3.0.6.RELEASE-13.

Vi anbefaler at du opgraderer dine libspring-java-pakker.