Bulletin d'alerte Debian

DLA-333-1 cakephp -- Mise à jour de sécurité pour LTS

Date du rapport :
23 octobre 2015
Paquets concernés :
cakephp
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
Plus de précisions :

CakePHP, une infrastructure d'application web open-source pour PHP, était vulnérable à des attaques de contrefaçon de requête côté serveur (« server-side request forgery », SSRF). Un attaquant distant peut l'utiliser pour, au minimum, des attaques par déni de service (« DoS »), si l'application cible accepte du code XML en entrée. Cela est provoqué par la conception non sûre de la classe Xml de Cake.

Pour Debian 6 Squeeze, ce problème a été corrigé dans la version 1.3.2-1.1+deb6u11 de cakephp.