Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
libspring-aop-java
(any)
libspring-beans-java
(any)
libspring-context-java
(any)
libspring-context-support-java
(any)
libspring-core-java
(any)
libspring-expression-java
(any)
libspring-instrument-java
(any)
libspring-jdbc-java
(any)
libspring-jms-java
(any)
libspring-orm-java
(any)
libspring-oxm-java
(any)
libspring-test-java
(any)
libspring-transaction-java
(any)
libspring-web-java
(any)
libspring-web-portlet-java
(any)
libspring-web-servlet-java
(any)
libspring-web-struts-java
(any)
Описание
Командой разработки Spring было обнаружено, что исправление инъекции
внешней сущности XML (XXE)
(CVE-2013-4152) в Spring Framework было не полным.
Spring MVC SourceHttpMessageConverter также обрабатывает предоставляемые пользователем XML-файлы
и ни отключает внешние сущности XML, ни даёйт возможности
отключить их. SourceHttpMessageConverter был изменён следующим образом: была предоставлена
возможность управления обработкой внешних сущностей XML, по умолчанию эта
обработка отключена.
Кроме того, Джон Пасски обнаружил возможную уязвимость XSS:
метод JavaScriptUtils.javaScriptEscape() не экранирует все
символы, являющиеся чувствительными в строках JS, помещённых в одинарные кавычки,
двойные кавычки, а также в контексте данных сценария HTML. В большинстве случаев это
приводит к ошибке грамматического разбора, но иногда это может
привести к уязвимости XSS.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 3.0.6.RELEASE-6+deb7u2.
В тестируемом выпуске (jessie) эти проблемы были исправлены в
версии 3.0.6.RELEASE-11.
В тестируемом выпуске (sid) эти проблемы были исправлены в
версии 3.0.6.RELEASE-11.
Рекомендуется обновить пакеты libspring-java.
внешней сущности XML (XXE)
(CVE-2013-4152) в Spring Framework было не полным.
Spring MVC SourceHttpMessageConverter также обрабатывает предоставляемые пользователем XML-файлы
и ни отключает внешние сущности XML, ни даёйт возможности
отключить их. SourceHttpMessageConverter был изменён следующим образом: была предоставлена
возможность управления обработкой внешних сущностей XML, по умолчанию эта
обработка отключена.
Кроме того, Джон Пасски обнаружил возможную уязвимость XSS:
метод JavaScriptUtils.javaScriptEscape() не экранирует все
символы, являющиеся чувствительными в строках JS, помещённых в одинарные кавычки,
двойные кавычки, а также в контексте данных сценария HTML. В большинстве случаев это
приводит к ошибке грамматического разбора, но иногда это может
привести к уязвимости XSS.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 3.0.6.RELEASE-6+deb7u2.
В тестируемом выпуске (jessie) эти проблемы были исправлены в
версии 3.0.6.RELEASE-11.
В тестируемом выпуске (sid) эти проблемы были исправлены в
версии 3.0.6.RELEASE-11.
Рекомендуется обновить пакеты libspring-java.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
libspring-java - 3.0.6.RELEASE-6+deb7u2
Debian GNU/Linux 7:
noarch:
libspring-java - 3.0.6.RELEASE-6+deb7u2
Ссылки
http://www.debian.org/security/dsa-2857/
Источник: CVE
Наименование: CVE-2013-6429
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6429
Источник: CVE
Наименование: CVE-2013-6430
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6430
Источник: CVE
Наименование: CVE-2013-6429
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6429
Источник: CVE
Наименование: CVE-2013-6430
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6430