Bulletin d'alerte Debian

DLA-1241-1 libkohana2-php -- Mise à jour de sécurité pour LTS

Date du rapport :
14 janvier 2018
Paquets concernés :
libkohana2-php
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-10510.
Plus de précisions :

David Sopas a découvert que Kohana, un cadriciel PHP, était vulnérable à une attaque de script intersite (XSS) qui permettait à des attaquants distants d'injecter un script web arbitraire ou du code HTML en contournant le mécanisme de protection strip_image_tags dans system/classes/Kohana/Security.php. Ce problème a été résolu en supprimant de façon permanente la fonction strip_image_tags. Il est conseillé aux utilisateurs de vérifier les entrées de l'utilisateur en utilisant plutôt des bibliothèques externes.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.3.4-2+deb7u1.

Nous vous recommandons de mettre à jour vos paquets libkohana2-php.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS