<p dir="ltr">On 26 Nov 2014 10:45, "Raphael Hertzog" <<a href="mailto:hertzog@debian.org">hertzog@debian.org</a>> wrote:<br>
><br>
> Hello Stephen,<br>
><br>
> On Mon, 08 Sep 2014, Stephen Nelson wrote:<br>
> > > For what it's worth, CVE-2014-3578 was assigned to a directory traversal<br>
> > > vulnerability in libspring-java<br>
> > > ( <a href="http://www.pivotal.io/security/cve-2014-3578">http://www.pivotal.io/security/cve-2014-3578</a>)<br>
> ><br>
> > Thanks for letting us know about this one. I've had a quick look and it<br>
> > might be more difficult to fix given that there hasn't been a specific<br>
> > commit made in a later version of Spring which could be backported.<br>
> > However, I will look into this in more detail and report back to the BTS<br>
> > for this bug.<br>
><br>
> I haven't seen any followup yet. Do you still plan to do the required<br>
> investigation?<br>
><br>
> This bug is one of Jessie's remaining release critical bugs so it would<br>
> be nice if there could be some progress. (Of course, packaging a new<br>
> upstream version can also be considered by release team members<br>
> if backporting is too much work)<br>
></p>
<p dir="ltr">I couldn't find any specifics on this vulnerability other than the upstream saying it's not present in their currently supported versions.</p>
<p dir="ltr">Therefore it looks like upgrading to 3.2.x would solve the security issue but is quite a lot of work and involves dependencies not yet packaged in Debian.</p>
<p dir="ltr">I'm happy to help but ask more experienced Java team members on what's the best course of action here.</p>
<p dir="ltr">Cheers</p>
<p dir="ltr">Stephen</p>