Bulletin d'alerte Debian

DSA-3518-1 spip -- security update

Date du rapport :
16 mars 2016
Paquets concernés :
spip
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-3153, CVE-2016-3154.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans SPIP, un moteur de publication pour site web, menant à une injection de code.

  • CVE-2016-3153

    g0uZ et sambecks, de l'équipe root-me, ont découvert que du code PHP arbitraire pouvait être injecté lors de l'addition de contenu.

  • CVE-2016-3154

    Gilles Vincent a découvert que la désérialisation de contenu non fiable pouvait conduire à l'injection d'objets arbitraires.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 2.1.17-1+deb7u5.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 3.0.17-2+deb8u2.

Pour la distribution testing (Stretch) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.0.22-1.

Nous vous recommandons de mettre à jour vos paquets spip.