Bulletin d'alerte Debian

DLA-566-1 cakephp -- Mise à jour de sécurité pour LTS

Date du rapport :
28 juillet 2016
Paquets concernés :
cakephp
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 832283.
Plus de précisions :

CakePHP, une infrastructure d'application web open-source pour PHP, était vulnérable à des attaques de contrefaçon de requête côté serveur (« server-side request forgery », SSRF). Un attaquant distant peut utiliser cela pour, au minimum, des attaques par déni de service (« DoS »), si l'application cible accepte du code XML en entrée. Cela est provoqué par la conception non sûre de la classe Xml de Cake.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.3.15-1+deb7u1.

Nous vous recommandons de mettre à jour vos paquets cakephp.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.