Рекомендация Debian по безопасности

DSA-3750-1 libphp-phpmailer -- обновление безопасности

Дата сообщения:
31.12.2016
Затронутые пакеты:
libphp-phpmailer
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 849365.
В каталоге Mitre CVE: CVE-2016-10033.
Более подробная информация:

Давид Голунский обнаружил, что PHPMailer, популярная библиотека для отправки сообщений электронной почты из приложений на языке PHP, позволяет удалённому злоумышленнику выполнять код в случае, если он может передать приложению специально сформированный адрес в поле Sender.

Заметьте, что эта проблема также получила идентификатор CVE-2016-10045, и является регрессией в изначальной заплате, предложенной для CVE-2016-10033. Поскольку изначальная заплата не была применена в Debian, версия в Debian не подвержена уязвимости CVE-2016-10045.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 5.2.9+dfsg-2+deb8u2.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 5.2.14+dfsg-2.1.

Рекомендуется обновить пакеты libphp-phpmailer.