LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-770-1 libphp-phpmailer

Bulletin d'alerte Debian

DLA-770-1 libphp-phpmailer -- Mise à jour de sécurité pour LTS

Date du rapport :

31 décembre 2016

Paquets concernés :

libphp-phpmailer

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 849365.
Dans le dictionnaire CVE du Mitre : CVE-2016-10033.

Plus de précisions :

Dawid Golunski a découvert que PHPMailer, une bibliothèque populaire pour envoyer des courriels à partir des applications PHP, permettait à un attaquant distant d'exécuter du code s'il était capable de fournir une adresse d'expéditeur contrefaite.

Notez que pour ce problème, le CVE-2016-10045 a aussi été assigné, qui est une régression dans le correctif original proposé pour le CVE-2016-10033. Comme le correctif original n'avait pas été appliqué dans Debian, Debian n'était pas vulnérable au CVE-2016-10045.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 5.1-1.2.

Nous vous recommandons de mettre à jour vos paquets libphp-phpmailer.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.