On Mon, Feb 10, 2014 at 02:48:55PM +0100, Lev Lamberov wrote: ... > -<p>In addition Jon Passki discovered a possible XSS vulnerability: > -The JavaScriptUtils.javaScriptEscape() method did not escape all > -characters that are sensitive within either a JS single quoted string, > -JS double quoted string, or HTML script data context. In most cases this > -will result in an unexploitable parse error but in some cases it could > -result in an XSS vulnerability.</p> > - > -<p>For the stable distribution (wheezy), these problems have been fixed in > -version 3.0.6.RELEASE-6+deb7u2.</p> > +<p>Spring MVC SourceHttpMessageConverter также обрабатывает предоставляемые > пользователем XML-файлы > +и ни отключает внешние сущности XML, ни дайт возможности +ни да_ё_т возможности
> +отключить их. SourceHttpMessageConverter был изменён следующим образом: была > предоставлена > +возможность управления обработкой внешних сущностей XML, по умолчанию эта > +обработка отключена.</p> > + > +<p>Кроме того, Джон Пасски обнаружил возможную уязвимость XSS: > +метод JavaScriptUtils.javaScriptEscape() не экранирует все > +символы, являющиеся чувствительными в строках JS, помещённых в одинарные > кавычки, > +двойные кавычки, а также в контексте данных сценария HTML. В большинстве > случаем это в большинстве случае_в_ -- To UNSUBSCRIBE, email to debian-l10n-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20140210143502.GA28346@localhost.localdomain
