Bulletin d'alerte Debian

DSA-1919-1 smarty -- Plusieurs vulnérabilités

Date du rapport :
25 octobre 2009
Paquets concernés :
smarty
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 504328, Bogue 529810.
Dans le dictionnaire CVE du Mitre : CVE-2008-4810, CVE-2009-1669.
Plus de précisions :

Plusieurs vulnérabilités distantes ont été découvertes dans Smarty, un moteur de gabarit (template) PHP. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2008-4810

    La fonction _expand_quoted_text permet à certaines restrictions de gabarits, comme l'appel de fonction et l'exécution de PHP, d'être contournées.

  • CVE-2009-1669

    La fonction smarty_function_math permet aux attaquants en fonction du contexte d'exécuter des commandes arbitraires à l'aide de métacaractères de l'interpréteur de commandes dans l'attribut equation de la fonction math.

Pour l'ancienne distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.6.14-1etch2.

Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 2.6.20-1.2.

Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour votre paquet smarty.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.14-1etch2.dsc
http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.14.orig.tar.gz
http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.14-1etch2.diff.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.14-1etch2_all.deb

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.20-1.2.dsc
http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.20-1.2.diff.gz
http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.20.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.20-1.2_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.