Bulletin d'alerte Debian

DLA-1249-1 smarty3 -- Mise à jour de sécurité pour LTS

Date du rapport :
19 janvier 2018
Paquets concernés :
smarty3
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-1000480.
Plus de précisions :

Il y avait une vulnérabilité d'injection de code dans smarty3, un moteur de modèles PHP.

Une attaque au moyen d'un nom de fichier contrefait pour l'occasion dans des commentaires pourrait avoir pour conséquence l'exécution de code arbitraire. Merci à Mike Gabriel d'avoir rétroporté le correctif.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 3.1.10-2+deb7u2.

Nous vous recommandons de mettre à jour vos paquets smarty3.