blob: 8dc5cf2fbd3fec042d88c322f8624392a5a1290b (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
|
#use wml::debian::translation-check translation="e57e8a7d527825d1c59f9a76988b3333337eab66" maintainer="Lev Lamberov"
<define-tag description>отказ в обслуживании</define-tag>
<define-tag moreinfo>
<p>Альваро Мунос обнаружил инъекцию внешней сущности XML (XXE) в
Spring Framework, которая может использоваться для осуществления CSRF-атак и DoS-атак
на другие сайты.</p>
<p>Обёртка Spring OXM не раскрывает свойства для отключения разрешения сущности при
использовании демаршалера JAXB. Имеется четыре возможных реализации
источников, передаваемых демаршалеру:</p>
<ul>
<li>DOMSource</li>
<li>StAXSource</li>
<li>SAXSource</li>
<li>StreamSource</li>
</ul>
<p>В DOMSource данные XML уже грамматически разобраны пользовательским кодом,
и этот код ответственен за защиту от XXE.</p>
<p>В StAXSource XMLStreamReader уже был создан
пользовательским кодом, и этот код ответственен за защиту
от XXE.</p>
<p>В случае SAXSource и StreamSource Spring обрабатывает
внешние сущности по умолчанию, что, таким образом, создаёт
данную уязвимость.</p>
<p>Проблема была решена путём отключения обработки внешних сущностей по умолчанию и
добавления опции по её включению для тех пользователей, которым
нужно её использовать при обработке XML из
доверенного источника.</p>
<p>Также было обнаружено, что Spring MVC обрабатывает предоставленный пользователем
XML с JAXB вместе с StAX XMLInputFactory
без отключения разрешения внешних сущностей. Разрешение внешних сущностей
в этом случае было отключено.</p>
<p>В стабильном выпуске (wheezy) эта проблема была исправлена в
версии 3.0.6.RELEASE-6+deb7u1.</p>
<p>В нестабильном выпуске (sid) эта проблема была исправлена в
версии 3.0.6.RELEASE-10.</p>
<p>Рекомендуется обновить пакеты libspring-java.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2842.data"
# $Id$
|
