Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3750-1 libphp-phpmailer

Bulletin d'alerte Debian

DSA-3750-1 libphp-phpmailer -- Mise à jour de sécurité

Date du rapport :

31 décembre 2016

Paquets concernés :

libphp-phpmailer

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 849365.
Dans le dictionnaire CVE du Mitre : CVE-2016-10033.

Plus de précisions :

Dawid Golunski a découvert que PHPMailer, une bibliothèque populaire pour envoyer des courriels à partir des applications PHP, permettait à un attaquant distant d'exécuter du code s'il était capable de fournir une adresse d'expéditeur contrefaite.

Notez que pour ce problème, le CVE-2016-10045 a aussi été assigné, qui est une régression dans le correctif original proposé pour CVE-2016-10033. Comme le correctif original n'avait pas été appliqué dans Debian, Debian n'était pas vulnérable à CVE-2016-10045.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 5.2.9+dfsg-2+deb8u2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 5.2.14+dfsg-2.1.

Nous vous recommandons de mettre à jour vos paquets libphp-phpmailer.