Säkerhetsbulletin från Debian

DSA-3750-1 libphp-phpmailer -- säkerhetsuppdatering

Rapporterat den:
2016-12-31
Berörda paket:
libphp-phpmailer
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 849365.
I Mitres CVE-förteckning: CVE-2016-10033.
Ytterligare information:

Dawid Golunski upptäckte att PHPMailer, ett populärt bibliotek för att skicka e-post från PHP-applikationer, tillåter en fjärrangripare att köra kod om dom kunde tillhandahålla en skapad avsändaradress.

Notera att för detta problem tilldelades även CVE-2016-10045, vilket är en regression i den ursprungliga patchen som föreslogs för CVE-2016-10033. Eftersom den ursprungliga rättelsen inte applicerades i Debian, var inte Debian sårbar för CVE-2016-10045.

För den stabila utgåvan (Jessie) har detta problem rättats i version 5.2.9+dfsg-2+deb8u2.

För den instabila utgåvan (Sid) har detta problem rättats i version 5.2.14+dfsg-2.1.

Vi rekommenderar att ni uppgraderar era libphp-phpmailer-paket.