Рекомендация Debian по безопасности

DSA-3518-1 spip -- обновление безопасности

Дата сообщения:
16.03.2016
Затронутые пакеты:
spip
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2016-3153, CVE-2016-3154.
Более подробная информация:

В SPIP, движке веб-сайта для издательской деятельности, было обнаружено несколько уязвимостей, которые могут приводить к инъекции кода.

  • CVE-2016-3153

    g0uZ и sambecks из команды root-me обнаружили, что при добавлении содержимого можно ввести произвольный код на языке PHP.

  • CVE-2016-3154

    Жиль Винсен обнаружил, что десериализация недоверенного содержимого может приводить к инъекции произвольных объектов.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 2.1.17-1+deb7u5.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 3.0.17-2+deb8u2.

В тестируемом (stretch) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 3.0.22-1.

Рекомендуется обновить пакеты spip.