Risques
- Atteinte à la confidentialité des données
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
Spring Framework versions 2.x et 3.x.
Résumé
Plusieurs vulnérabilités de Spring Framework ont été corrigées. Certaines permettent l'exécution de code arbitraire à distance.
Description
Spring Framework permet le développement d'application Java/JEE.
Plusieurs vulnérabilités de Spring Framework ont été corrigées :
- (CVE-2011-2730) une double interprétation d'éléments en langage EL permet à un utilisateur malveillant d'obtenir des informations sans en avoir le droit ;
- (CVE-2011-2731) un problème de concurrence dans RunAsManager permet à un utilisateur malveillant d'élever ses privilèges ;
- (CVE-2011-2732) une erreur dans le traitement de connexions et des déconnexions permet à un utilisateur malveillant d'injecter du code dans une réponse HTTP ;
- (CVE-2011-2894) des erreurs dans la de-serialization d'objets permettent à un utilisateur malveillant d'exécuter du code arbitraire à distance.
Solution
Les versions 2.0.7, 2.5.6.SEC03, 2.5.7.SR02 et 3.0.6 remédient à ces vulnérabilités.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletins de sécurité Springsource du 09 septembre 2011 http://www.springsource.com/security/cve-2011-2894
- Référence CVE CVE-2011-2730 https://www.cve.org/CVERecord?id=CVE-2011-2730
- Référence CVE CVE-2011-2731 https://www.cve.org/CVERecord?id=CVE-2011-2731
- Référence CVE CVE-2011-2732 https://www.cve.org/CVERecord?id=CVE-2011-2732
- Référence CVE CVE-2011-2894 https://www.cve.org/CVERecord?id=CVE-2011-2894
