10 февраля 2014 г., 15:35 пользователь Vladimir Zhbanov
vzhba...@gmail.comнаписал:
On Mon, Feb 10, 2014 at 02:48:55PM +0100, Lev Lamberov wrote:
...
-pIn addition Jon Passki discovered a possible XSS vulnerability:
-The JavaScriptUtils.javaScriptEscape() method did not escape all
-characters that are sensitive within either a JS single quoted string,
-JS double quoted string, or HTML script data context. In most cases this
-will result in an unexploitable parse error but in some cases it could
-result in an XSS vulnerability./p
-
-pFor the stable distribution (wheezy), these problems have been fixed
in
-version 3.0.6.RELEASE-6+deb7u2./p
+pSpring MVC SourceHttpMessageConverter также обрабатывает
предоставляемые пользователем XML-файлы
+и ни отключает внешние сущности XML, ни дайт возможности
+ни да_ё_т возможности
+отключить их. SourceHttpMessageConverter был изменён следующим образом:
была предоставлена
+возможность управления обработкой внешних сущностей XML, по умолчанию
эта
+обработка отключена./p
+
+pКроме того, Джон Пасски обнаружил возможную уязвимость XSS:
+метод JavaScriptUtils.javaScriptEscape() не экранирует все
+символы, являющиеся чувствительными в строках JS, помещённых в
одинарные кавычки,
+двойные кавычки, а также в контексте данных сценария HTML. В
большинстве случаем это
в большинстве случае_в_
Спасибо, поправил.
Cheers!
Lev Lamberov
--
To UNSUBSCRIBE, email to debian-l10n-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact
listmas...@lists.debian.org
Archive:
http://lists.debian.org/20140210143502.GA28346@localhost.localdomain