Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
libspring-aop-java
(any)
libspring-beans-java
(any)
libspring-context-java
(any)
libspring-context-support-java
(any)
libspring-core-java
(any)
libspring-expression-java
(any)
libspring-instrument-java
(any)
libspring-jdbc-java
(any)
libspring-jms-java
(any)
libspring-orm-java
(any)
libspring-oxm-java
(any)
libspring-test-java
(any)
libspring-transaction-java
(any)
libspring-web-java
(any)
libspring-web-portlet-java
(any)
libspring-web-servlet-java
(any)
libspring-web-struts-java
(any)
Описание
В libspring-java, пакете Debian для инфраструктуры
Java Spring, были обнаружены две уязвимости.
CVE-2014-0054
Jaxb2RootElementHttpMessageConverter в Spring MVC обрабатывает
внешние сущности XML.
CVE-2014-1904
Spring MVC добавляет уязвимость, состоящую в межсайтовом скриптинге, в случае если
не определено действие над формой Spring.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 3.0.6.RELEASE-6+deb7u3.
В тестируемом (jessie) и нестабильном
(sid) выпусках эти проблемы были исправлены в версии 3.0.6.RELEASE-13.
Рекомендуется обновить пакеты libspring-java.
Java Spring, были обнаружены две уязвимости.
CVE-2014-0054
Jaxb2RootElementHttpMessageConverter в Spring MVC обрабатывает
внешние сущности XML.
CVE-2014-1904
Spring MVC добавляет уязвимость, состоящую в межсайтовом скриптинге, в случае если
не определено действие над формой Spring.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 3.0.6.RELEASE-6+deb7u3.
В тестируемом (jessie) и нестабильном
(sid) выпусках эти проблемы были исправлены в версии 3.0.6.RELEASE-13.
Рекомендуется обновить пакеты libspring-java.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
libspring-java - 3.0.6.RELEASE-6+deb7u3
Debian GNU/Linux 7:
noarch:
libspring-java - 3.0.6.RELEASE-6+deb7u3
Ссылки
http://www.debian.org/security/dsa-2890/
Источник: CVE
Наименование: CVE-2014-1904
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1904
Источник: CVE
Наименование: CVE-2014-0054
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0054
Источник: CVE
Наименование: CVE-2014-1904
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1904
Источник: CVE
Наименование: CVE-2014-0054
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0054