Säkerhetsbulletin från Debian
DSA-1919-1 smarty -- flera sårbarheter
- Rapporterat den:
- 2009-10-25
- Berörda paket:
- smarty
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 504328, Fel 529810.
I Mitres CVE-förteckning: CVE-2008-4810, CVE-2009-1669. - Ytterligare information:
-
Flera utifrån nåbara sårbarheter har upptäckts i Smarty, en motor för PHP-mallar. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2008-4810
Funktionen _expand_quoted_text tillåter att vissa restriktioner i mallar, såsom funktionsanrop och PHP-exekvering, kringgås.
- CVE-2009-1669
Funktionen smarty_function_math tillåter miljöberoende angripare att exekvera godtyckliga kommandon med hjälp av skalmetatecken i ekvationsattributet till funktionen.
För den gamla stabila utgåvan (Etch) har dessa problem rättats i version 2.6.14-1etch2.
För den stabila utgåvan (Lenny) har dessa problem rättats i version 2.6.20-1.2.
För den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.
Vi rekommenderar att ni uppgraderar ert smarty-paket.
- CVE-2008-4810
- Rättat i:
-
Debian GNU/Linux 4.0 (etch)
- Källkod:
- http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.14-1etch2.dsc
- http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.14.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.14-1etch2.diff.gz
- http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.14.orig.tar.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.14-1etch2_all.deb
Debian GNU/Linux 5.0 (lenny)
- Källkod:
- http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.20-1.2.dsc
- http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.20-1.2.diff.gz
- http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.20.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.20-1.2.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/s/smarty/smarty_2.6.20-1.2_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.