Debians sikkerhedsbulletin

DSA-3518-1 spip -- sikkerhedsopdatering

Rapporteret den:
16. mar 2016
Berørte pakker:
spip
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2016-3153, CVE-2016-3154.
Yderligere oplysninger:

Flere sårbarheder blev fundet i SPIP, et webstedsmotor til udgivelse, medførende kodeindsprøjtning.

  • CVE-2016-3153

    g0uZ et sambecks, fra team root-me, opdagede at vilkårlig PHP-kode kunne indsprøjtes, når der blev tilføjet indhold.

  • CVE-2016-3154

    Gilles Vincent opdagede at deserialisering af indhold, der ikke er tillid til, kunne medføre indsprøjtning af vilkårlige objekter.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 2.1.17-1+deb7u5.

I den stabile distribution (jessie), er disse problemer rettet i version 3.0.17-2+deb8u2.

I distributionen testing (stretch) og i den ustabile distribution (sid), er disse problemer rettet i version 3.0.22-1.

Vi anbefaler at du opgraderer dine spip-pakker.