こいつの対応のめも。
CVE-2011-2730 | support.springsource.com
とりあえずSpringのバージョンを確認。3.1系なら問題なさげ。
使ってたのが3.0.5なのでアウト。
Springのtagsの属性のうち、EL式を評価する属性にパラメータなどの指定で値が入ってしまう場合に問題が起きるっぽい。
Cookie抜かれたりとかとか。おおこわいこわい。
各ライブラリの最新バージョンで新しく「springJspExpressionSupport」というContextParameterが利用できるようになっているので、ライブラリのバージョンアップを行ったのち、web.xmlに以下を記述すればよさげ。
<context-param> <param-name>springJspExpressionSupport</param-name> <param-value>false</param-value> </context-param>
