S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 13 septembre 2011
N° CERTA-2011-AVI-504
Affaire suivie par: CERT-FR
le 13 septembre 2011

Avis du CERT-FR

Objet: Vulnérabilités dans Spring Framework

Gestion du document

Référence CERTA-2011-AVI-504
Titre Vulnérabilités dans Spring Framework
Date de la première version 13 septembre 2011
Date de la dernière version 13 septembre 2011
Source(s) Bulletins de sécurité Springsource du 09 septembre 2011
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • atteinte à la confidentialité des données ;
  • élévation de privilèges.

Systèmes affectés

Spring Framework versions 2.x et 3.x.

Résumé

Plusieurs vulnérabilités de Spring Framework ont été corrigées. Certaines permettent l'exécution de code arbitraire à distance.

Description

Spring Framework permet le développement d'application Java/JEE.

Plusieurs vulnérabilités de Spring Framework ont été corrigées :

  • (CVE-2011-2730) une double interprétation d'éléments en langage EL permet à un utilisateur malveillant d'obtenir des informations sans en avoir le droit ;
  • (CVE-2011-2731) un problème de concurrence dans RunAsManager permet à un utilisateur malveillant d'élever ses privilèges ;
  • (CVE-2011-2732) une erreur dans le traitement de connexions et des déconnexions permet à un utilisateur malveillant d'injecter du code dans une réponse HTTP ;
  • (CVE-2011-2894) des erreurs dans la de-serialization d'objets permettent à un utilisateur malveillant d'exécuter du code arbitraire à distance.

Solution

Les versions 2.0.7, 2.5.6.SEC03, 2.5.7.SR02 et 3.0.6 remédient à ces vulnérabilités.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 13 septembre 2011
    version initiale.