JVNDB-2011-005205
|
VMware SpringSource Spring Framework における重要な情報を取得される脆弱性
|
|
VMware SpringSource Spring Framework は、式言語 (Expression Language、EL) をコンテナがサポートしている場合、タグ内の EL 式を 2 回値を求めるため、重要な情報を取得される脆弱性が存在します。
|
|
CVSS v2 による深刻度
基本値: 7.5 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
VMware
- Spring Framework 3.0.0 から 3.0.5
- Spring Framework 2.5.0 から 2.5.6.SEC02 (community releases)
- Spring Framework 2.5.0 から 2.5.7.SR01 (subscription customers)
|
|
|
第三者により、下記の項目を介して、重要な情報を取得される可能性があります。
(1) (a) spring:hasBindErrors タグ内の name 属性
(2) (b) spring:bind タグ、または (c) spring:nestedpath タグ内の path 属性
(3) (d) spring:message タグ、または (e) spring:theme タグ内の arguments 属性
(4) (d) spring:message タグ、または (e) spring:theme タグ内の code 属性
(5) (d) spring:message タグ、または (e) spring:theme タグ内の text 属性
(6) (d) spring:message タグ、または (e) spring:theme タグ内の var 属性
(7) (d) spring:message タグ、または (e) spring:theme タグ内の scope 属性
(8) (d) spring:message タグ、または (e) spring:theme タグ内の message 属性
(9) (f) spring:transform タグ内の var 属性
(10) (f) spring:transform タグ内の scope 属性
(11) (f) spring:transform タグ内の value 属性
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
Debian
VMware
|
|
- 環境設定(CWE-16) [NVD評価]
|
|
- CVE-2011-2730
|
|
- National Vulnerability Database (NVD) : CVE-2011-2730
|
|
- [2012年12月07日]
掲載
[2013年01月23日]
CVSS による深刻度:基本値および完全性、可用性への影響を変更
|
