Säkerhetsbulletin från Debian

DSA-3518-1 spip -- säkerhetsuppdatering

Rapporterat den:
2016-03-16
Berörda paket:
spip
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2016-3153, CVE-2016-3154.
Ytterligare information:

Flera sårbarheter har upptäckts i SPIP, en websidemotor för publicerng, som resulterar i kodinjicering.

  • CVE-2016-3153

    g0uZ et sambecks, från root-me-gruppen, upptäckte att godtycklig PHP-kod kunde injiceras när man lägger till innehåll.

  • CVE-2016-3154

    Gilles Vincent upptäckte att deserialisering av opålitligt innehåll kunde resultera i injicering av godtyckliga objekt.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 2.1.17-1+deb7u5.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 3.0.17-2+deb8u2.

För uttestningsutgåvan (Stretch) och den instabila distributionen (Sid), har dessa problem rättats i version 3.0.22-1.

Vi rekommenderar att ni uppgraderar era spip-paket.