Debians sikkerhedsbulletin
DSA-2890-1 libspring-java -- sikkerhedsopdatering
- Rapporteret den:
- 29. mar 2014
- Berørte pakker:
- libspring-java
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 741604.
I Mitres CVE-ordbog: CVE-2014-0054, CVE-2014-1904. - Yderligere oplysninger:
-
To sårbarheder blev opdaget i libspring-java, Debian-pakken indeholdende Java Spring-frameworket.
- CVE-2014-0054
Jaxb2RootElementHttpMessageConverter i Spring MVC behandlede eksterne XML-entiteter.
- CVE-2014-1904
Spring MVC indeholdt en sårbarhed i forbindelse med udførelse af skripter på tværs af websteder, såfremt der ikke var angivet en handling på en Spring-formular.
I den stabile distribution (wheezy), er disse problemer rettet i version 3.0.6.RELEASE-6+deb7u3.
I distributionen testing (jessie) og i den ustabile distribution (sid), er disse problemer rettet i version 3.0.6.RELEASE-13.
Vi anbefaler at du opgraderer dine libspring-java-pakker.
- CVE-2014-0054