Рекомендация Debian по безопасности

DSA-4046-1 libspring-ldap-java -- обновление безопасности

Дата сообщения:
22.11.2017
Затронутые пакеты:
libspring-ldap-java
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2017-8028.
Более подробная информация:

Тобиас Шнайдер обнаружил, что libspring-ldap-java, Java-библиотека для приложений на основе Spring, использующих LDAP, при некоторых обстоятельствах позволяет проходить аутентификацию с корректным именем пользователя, но произвольным паролем.

В предыдущем стабильном выпуске (jessie) эта проблема была исправлена в версии 1.3.1.RELEASE-5+deb8u1.

Рекомендуется обновить пакеты libspring-ldap-java.

С подробным статусом поддержки безопасности libspring-ldap-java можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/libspring-ldap-java