Debian dla-4246libowasp-esapi-java - 安全性更新

medium Nessus Plugin ID 242493

語言:

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 11 主機安裝了一個套件其受到 dla-4246 公告中所提及的多個弱點影響。

-------------------------------------------------- ----------------------- Debian LTS 公告 DLA-4246-1 [email protected] https://www.debian.org/lts/security/Markus Koschany 2025 年 7 月 22 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

套件版本 2.4.0.0-0+deb11u1 CVE ID CVE-2022-23457 CVE-2022-24891 CVE-2025-5878 Debian 錯誤 1010339 1109378

在 libowasp-esapi-java (一種 Java 企業安全性 API) 中發現數個安全性弱點。

CVE-2022-23457：

ESAPI (OWASP Enterprise Security API) 是免費、開放原始碼的 web 應用程式安全性控製程式庫。在此更新之前「Validator.getValidDirectoryPath(String, String, File, boolean)」的預設實作可能會不正確地將測試過的輸入字串視為指定父目錄的子目錄。如果攻擊者可指定代表「input」路徑的完整字串這可能會讓控制流程繞過檢查失敗。

CVE-2022-24891：

ESAPI 中可能會出現一個跨網站指令碼弱點這是因為在
**antisamy-esapi.xml** 設定檔可造成 javascript: URL 無法正確清理。

CVE-2025-5878：

此問題會影響 SQL 插入防禦的 Encoder.encodeForSQL 介面。攻擊導致不當中和特殊元素。我們未發現 Debian 中有任何受影響的反向相依性但如果您在獨立專案中使用 ESAPI則應該知道 Encoder.encodeForSQL 方法已過時且最終將被移除。此外DB2Codec、MySQLCodec 和 OracleCodec 類別也已過時。建議您仔細評估您的專案是否會受到這些類別和方法影響以及是否必須實作其他步驟來保護您的應用程式。此更新不會自動保護您免受任何潛在風險的影響。

針對 Debian 11 Bullseye這些問題已在 2.4.0.0-0+deb11u1 版本中修正。

建議您升級 libowasp-esapi-java 套件。

如需 libowasp-esapi-java 安全性狀態的詳細資訊請參閱其安全性追踪頁面
https://security-tracker.debian.org/tracker/libowasp-esapi-java

有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊，請參閱：https://wiki.debian.org/LTSAttachment:signature.ascDescription: 這是數位簽署的訊息部分

Tenable 已直接從 Debian 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。