Bulletin d'alerte Debian

DSA-3750-1 libphp-phpmailer -- Mise à jour de sécurité

Date du rapport :
31 décembre 2016
Paquets concernés :
libphp-phpmailer
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 849365.
Dans le dictionnaire CVE du Mitre : CVE-2016-10033.
Plus de précisions :

Dawid Golunski a découvert que PHPMailer, une bibliothèque populaire pour envoyer des courriels à partir des applications PHP, permettait à un attaquant distant d'exécuter du code s'il était capable de fournir une adresse d'expéditeur contrefaite.

Notez que pour ce problème, le CVE-2016-10045 a aussi été assigné, qui est une régression dans le correctif original proposé pour CVE-2016-10033. Comme le correctif original n'avait pas été appliqué dans Debian, Debian n'était pas vulnérable à CVE-2016-10045.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 5.2.9+dfsg-2+deb8u2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 5.2.14+dfsg-2.1.

Nous vous recommandons de mettre à jour vos paquets libphp-phpmailer.