Debian dla-4246libowasp-esapi-java - 安全更新

medium Nessus 插件 ID 242493

语言：

简介

远程 Debian 主机上缺少一个或多个与安全相关的更新。

描述

远程 Debian 11 主机上存在安装的程序包该程序包受到 dla-4246 公告中提及的多个漏洞的影响。

-------------------------------------------------- ----------------------- Debian LTS 公告 DLA-4246-1 [email protected] https://www.debian.org/lts/security/Markus Koschany 2025 年 7 月 22 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

程序包libowasp-esapi-java 版本2.4.0.0-0+deb11u1 CVE ID CVE-2022-23457 CVE-2022-24891 CVE-2025-5878 Debian 缺陷10103391109378

在 libowasp-esapi-java一种 Java Enterprise Security API 中发现数个安全漏洞。

CVE-2022-23457:

ESAPI (OWASP Enterprise Security API) 是一个免费的开源 Web 应用程序安全控件库。在此更新之前“Validator.getValidDirectoryPath(String, String, File, boolean)”的默认实现可能错误地将测试的输入字符串视为指定父目录的子目录。如果攻击可以指定表示“输入”路径的完整字符串则其可能允许控制流绕过检查遭到破坏。

CVE-2022-24891:

在 ESAPI 中可能存在跨站脚本漏洞原因是 ESAPI 中 onsiteURL 的错误正则表达式。
**antisamy-esapi.xml** 配置文件可造成无法正确清理 javascriptURL。

CVE-2025-5878:

此问题影响 SQL 注入防御的接口 Encoder.encodeForSQL。攻击导致不正确地无效化特殊元素。我们不知道 Debian 中的任何受影响的反向依存关系但是如果您在独立的项目中使用 ESAPI您应该注意Encoder.encodeForSQL 方法已被弃用并且最终将被删除。此外DB2Codec、MySQLCodec 和 OracleCodec 类也已被弃用。建议仔细评估项目是否会受到这些类和方法的影响以及是否必须实施其他步骤来保护应用程序。此更新不会自动保护您免受任何潜在风险。

对于 Debian 11 Bullseye已在 2.4.0.0-0+deb11u1 版本中修复这些问题。

我们建议您升级 libowasp-esapi-java 程序包。

有关 libowasp-esapi-java 的详细安全状态请参阅其安全跟踪页面网址
https://security-tracker.debian.org/tracker/libowasp-esapi-java

有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTSAttachment:signature.ascDescription: 此消息部分已经过数字签署

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。