Bulletin d'alerte Debian
DLA-1249-2 smarty3 -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 1er février 2018
- Paquets concernés :
- smarty3
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2017-1000480.
- Plus de précisions :
-
Il a été précédemment découvert qu’il existait une vulnérabilité d’injection de code dans smarty3, un moteur de modèles PHP. Un nom de fichier spécialement contrefait dans des commentaires pourrait aboutir à l’exécution de code arbitraire.
Cependant, le correctif dans 3.1.10-2+deb7u2 était incorrect. Pour Debian 7
Wheezy
, cette régression a été corrigée dans la version 3.1.10-2+deb7u3 de smarty3Nous vous recommandons de mettre à jour vos paquets smarty3.