Bulletin d'alerte Debian
DSA-3750-1 libphp-phpmailer -- Mise à jour de sécurité
- Date du rapport :
- 31 décembre 2016
- Paquets concernés :
- libphp-phpmailer
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 849365.
Dans le dictionnaire CVE du Mitre : CVE-2016-10033. - Plus de précisions :
-
Dawid Golunski a découvert que PHPMailer, une bibliothèque populaire pour envoyer des courriels à partir des applications PHP, permettait à un attaquant distant d'exécuter du code s'il était capable de fournir une adresse d'expéditeur contrefaite.
Notez que pour ce problème, le CVE-2016-10045 a aussi été assigné, qui est une régression dans le correctif original proposé pour CVE-2016-10033. Comme le correctif original n'avait pas été appliqué dans Debian, Debian n'était pas vulnérable à CVE-2016-10045.
Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 5.2.9+dfsg-2+deb8u2.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 5.2.14+dfsg-2.1.
Nous vous recommandons de mettre à jour vos paquets libphp-phpmailer.