Bulletin d'alerte Debian

DSA-3416-1 libphp-phpmailer -- Mise à jour de sécurité

Date du rapport :
13 décembre 2015
Paquets concernés :
libphp-phpmailer
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 807265.
Dans le dictionnaire CVE du Mitre : CVE-2015-8476.
Plus de précisions :

Takeshi Terada a découvert une vulnérabilité dans PHPMailer, une bibliothèque PHP de transfert de courriel, utilisée par plusieurs systèmes de gestion de contenu. La bibliothèque acceptait des adresses de courriel et des commandes SMTP contenant des coupures de ligne qui peuvent être utilisées par un attaquant pour injecter des messages.

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 5.1-1.1.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 5.2.9+dfsg-2+deb8u1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 5.2.14+dfsg-1.

Nous vous recommandons de mettre à jour vos paquets libphp-phpmailer.