Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3750-1 libphp-phpmailer

Debians sikkerhedsbulletin

DSA-3750-1 libphp-phpmailer -- sikkerhedsopdatering

Rapporteret den:

31. dec 2016

Berørte pakker:

libphp-phpmailer

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 849365.
I Mitres CVE-ordbog: CVE-2016-10033.

Yderligere oplysninger:

Dawid Golunski opdagede at PHPMailer, et populært bibliotek til afsendelse af mail fra PHP-applikationer, gjorde det muligt for fjernangribere at udføre kode, hvis de var i stand til at levere en fabrikeret Sender-adresse.

Bemærk at dette problem også er blevet tildelt CVE-2016-10045, hvilket er en regression i den originale patch foreslået til CVE-2016-10033. Da den origiale patch ikke blev anvendt i Debian, var Debian ikke sårbar over for CVE-2016-10045.

I den stabile distribution (jessie), er dette problem rettet i version 5.2.9+dfsg-2+deb8u2.

I den ustabile distribution (sid), er dette problem rettet i version 5.2.14+dfsg-2.1.

Vi anbefaler at du opgraderer dine libphp-phpmailer-pakker.