[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR2] wml://security/2014/dsa-2857.wml

Bonjour,
Le 11/02/2014 07:05, JP Guillonneau a écrit :


relecture.

http://correcteurs.blog.lemonde.fr/2014/01/30/feu-cavanna-contempteur-du-point-virgule/ ;)
La ponctuation, cela permet quand même de respirer ! Et tant pis, si je suis snob, ... comme le chantait Vian. 

Amicalement

jipege



#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Plusieurs vulnérabilités</define-tag>
<define-tag moreinfo>
<p>L'équipe de développement de Spring a découvert que le correctif pour
l'injection d'entités externes XML (XXE)
(<a href="http://security-tracker.debian.org/tracker/CVE-2013-4152";>\
CVE-2013-4152</a>) dans la plateforme Spring était incomplet.</p>

<p>SourceHttpMessageConverter de Spring MVC traitait aussi le XML fourni par
l'utilisateur, ne désactivait jamais les entités externes XML et n'offrait pas
d'option pour les désactiver. SourceHttpMessageConverter a été modifié pour
offrir une option de contrôle du traitement des entités externes XML et ce
traitement est désactivé par défaut.</p>

<p>De plus, Jon Passki a découvert une possible vulnérabilité XSS :
La méthode JavaScriptUtils.javaScriptEscape() ne protège pas tous les
caractères sensible à l'intérieur d'une chaîne Java Script entre guillemets
simples, d'une chaîne Java Script entre guillemets doubles ou dans un contexte
de données de script HTML. Dans la plupart des cas, cela peut déboucher sur
une erreur d'analyse inexploitable ; mais dans certains cas, cela pourrait
avoir pour conséquence une vulnérabilité XSS.</p>

<p>Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.0.6.RELEASE-6+deb7u2.</p>

<p>Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 3.0.6.RELEASE-11.</p>

<p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.0.6.RELEASE-11.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libspring-java.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2857.data"
# $Id: dsa-2857.wml,v 1.1 2014/02/11 00:14:17 jipege1-guest Exp $
Reply to: