On Mon, Feb 10, 2014 at 02:48:55PM +0100, Lev Lamberov wrote:
...
> -<p>In addition Jon Passki discovered a possible XSS vulnerability:
> -The _javascript_Utils._javascript_Escape() method did not escape all
> -characters that are sensitive within either a JS single quoted string,
> -JS double quoted string, or HTML script data context. In most cases this
> -will result in an unexploitable parse error but in some cases it could
> -result in an XSS vulnerability.</p>
> -
> -<p>For the stable distribution (wheezy), these problems have been fixed in
> -version 3.0.6.RELEASE-6+deb7u2.</p>
> +<p>Spring MVC SourceHttpMessageConverter также обрабатывает предоставляемые пользователем XML-файлы
> +и ни отключает внешние сущности XML, ни дайт возможности
+ни да_ё_т возможности
> +отключить их. SourceHttpMessageConverter был изменён следующим образом: была предоставлена
> +возможность управления обработкой внешних сущностей XML, по умолчанию эта
> +обработка отключена.</p>
> +
> +<p>Кроме того, Джон Пасски обнаружил возможную уязвимость XSS:
> +метод _javascript_Utils._javascript_Escape() не экранирует все
> +символы, являющиеся чувствительными в строках JS, помещённых в одинарные кавычки,
> +двойные кавычки, а также в контексте данных сценария HTML. В большинстве случаем это
в большинстве случае_в_
--
To UNSUBSCRIBE, email to debian-l10n-russian-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Archive: [🔎] 20140210143502.GA28346@localhost.localdomain" target="_blank">http://lists.debian.org/[🔎] 20140210143502.GA28346@localhost.localdomain