Säkerhetsbulletin från Debian

DSA-1315-1 libphp-phpmailer -- kontrollerar inte indata

Rapporterat den:
2007-06-21
Berörda paket:
libphp-phpmailer
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2007-3215.
Ytterligare information:

Thor Larholm upptäckte att libphp-phpmailer, en e-postöverföringsklass för PHP, inte utförde tillräcklig kontroll av indata om den är inställd på att använda Sendmail. Detta gjorde det möjligt att exekvera godtyckliga skalkommandon.

Den gamla stabila utgåvan (Sarge) innehåller inte libphp-phpmailer.

För den stabila utgåvan (Etch) har detta problem rättats i version 1.73-2etch1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.73-4.

Vi rekommenderar att ni uppgraderar ert libphp-phpmailer-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:
http://security.debian.org/pool/updates/main/libp/libphp-phpmailer/libphp-phpmailer_1.73-2etch1.dsc
http://security.debian.org/pool/updates/main/libp/libphp-phpmailer/libphp-phpmailer_1.73-2etch1.diff.gz
http://security.debian.org/pool/updates/main/libp/libphp-phpmailer/libphp-phpmailer_1.73.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/libp/libphp-phpmailer/libphp-phpmailer_1.73-2etch1_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.