 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 13 septembre
2011
No CERTA-2011-AVI-504 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités dans
Spring Framework
Tableau 1: Gestion du document
| Référence |
CERTA-2011-AVI-504 |
| Titre |
Vulnérabilités
dans Spring Framework |
| Date de la première
version |
13 septembre 2011 |
| Date de la dernière
version |
- |
| Sources |
Bulletins de
sécurité Springsource du 09
septembre 2011 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire à distance
;
- atteinte à la confidentialité des
données ;
- élévation de privilèges.
Spring Framework versions 2.x et 3.x.
Plusieurs vulnérabilités de Spring Framework ont
été corrigées. Certaines permettent
l'exécution de code arbitraire à distance.
Spring Framework permet le développement
d'application Java/JEE.
Plusieurs vulnérabilités de Spring Framework
ont été corrigées :
- (CVE-2011-2730) une double interprétation
d'éléments en langage EL permet à un
utilisateur malveillant d'obtenir des informations sans en
avoir le droit ;
- (CVE-2011-2731) un problème de concurrence dans
RunAsManager permet à un
utilisateur malveillant d'élever ses
privilèges ;
- (CVE-2011-2732) une erreur dans le traitement de
connexions et des déconnexions permet à un
utilisateur malveillant d'injecter du code dans une
réponse HTTP ;
- (CVE-2011-2894) des erreurs dans la de-serialization d'objets permettent à
un utilisateur malveillant d'exécuter du code
arbitraire à distance.
Les versions 2.0.7, 2.5.6.SEC03, 2.5.7.SR02 et 3.0.6
remédient à ces vulnérabilités.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 13 septembre 2011
- version initiale.
CERTA
2012-01-04
|
|
)
