Debians sikkerhedsbulletin
DSA-1919-1 smarty -- flere sårbarheder
- Rapporteret den:
- 25. okt 2009
- Berørte pakker:
- smarty
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 504328, Fejl 529810.
I Mitres CVE-ordbog: CVE-2008-4810, CVE-2009-1669. - Yderligere oplysninger:
-
Flere fjernudnytbare sårbarheder er opdaget i Smarty, en PHP-skabelonmaskine. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2008-4810
Funktionen _expand_quoted_text gjorde det muligt at omgå visse restriktioner i skabeloner, så som funktionskald og PHP-udførelse.
- CVE-2009-1669
Funktionen smarty_function_math gjorde det muligt for kontektsafhængige angribere at udføre vilkårlige kommander gennem shell-metategn i math-funktionens equation-attribut.
I den gamle stabile distribution (etch), er disse problemer rettet i version 2.6.14-1etch2.
I den stabile distribution (lenny), er disse problemer rettet i version 2.6.20-1.2.
I den ustabile distribution (sid), vil disse problemer snart blive rettet.
Vi anbefaler at du opgraderer din smarty-pakke.
- CVE-2008-4810
- Rettet i:
-
Debian GNU/Linux 4.0 (etch)
- Kildekode:
- http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.14-1etch2.dsc
- http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.14.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.14-1etch2.diff.gz
- http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.14.orig.tar.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.14-1etch2_all.deb
Debian GNU/Linux 5.0 (lenny)
- Kildekode:
- http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.20-1.2.dsc
- http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.20-1.2.diff.gz
- http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.20.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.20-1.2.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.20-1.2_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.