10 февраля 2014 г., 15:35 пользователь Vladimir Zhbanov <vzhba...@gmail.com>написал:
> On Mon, Feb 10, 2014 at 02:48:55PM +0100, Lev Lamberov wrote: > ... > > -<p>In addition Jon Passki discovered a possible XSS vulnerability: > > -The JavaScriptUtils.javaScriptEscape() method did not escape all > > -characters that are sensitive within either a JS single quoted string, > > -JS double quoted string, or HTML script data context. In most cases this > > -will result in an unexploitable parse error but in some cases it could > > -result in an XSS vulnerability.</p> > > - > > -<p>For the stable distribution (wheezy), these problems have been fixed > in > > -version 3.0.6.RELEASE-6+deb7u2.</p> > > +<p>Spring MVC SourceHttpMessageConverter также обрабатывает > предоставляемые пользователем XML-файлы > > +и ни отключает внешние сущности XML, ни дайт возможности > +ни да_ё_т возможности > > > +отключить их. SourceHttpMessageConverter был изменён следующим образом: > была предоставлена > > +возможность управления обработкой внешних сущностей XML, по умолчанию > эта > > +обработка отключена.</p> > > + > > +<p>Кроме того, Джон Пасски обнаружил возможную уязвимость XSS: > > +метод JavaScriptUtils.javaScriptEscape() не экранирует все > > +символы, являющиеся чувствительными в строках JS, помещённых в > одинарные кавычки, > > +двойные кавычки, а также в контексте данных сценария HTML. В > большинстве случаем это > в большинстве случае_в_ Спасибо, поправил. Cheers! Lev Lamberov -- > To UNSUBSCRIBE, email to debian-l10n-russian-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > Archive: > http://lists.debian.org/20140210143502.GA28346@localhost.localdomain > >