Информация по безопасности / 2016 / Информация о безопасности -- DSA-3750-1 libphp-phpmailer

Рекомендация Debian по безопасности

DSA-3750-1 libphp-phpmailer -- обновление безопасности

Дата сообщения:

31.12.2016

Затронутые пакеты:

libphp-phpmailer

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 849365.
В каталоге Mitre CVE: CVE-2016-10033.

Более подробная информация:

Давид Голунский обнаружил, что PHPMailer, популярная библиотека для отправки сообщений электронной почты из приложений на языке PHP, позволяет удалённому злоумышленнику выполнять код в случае, если он может передать приложению специально сформированный адрес в поле Sender.

Заметьте, что эта проблема также получила идентификатор CVE-2016-10045 и является регрессией в изначальной заплате, предложенной для CVE-2016-10033. Поскольку изначальная заплата не была применена в Debian, версия в Debian не подвержена уязвимости CVE-2016-10045.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 5.2.9+dfsg-2+deb8u2.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 5.2.14+dfsg-2.1.

Рекомендуется обновить пакеты libphp-phpmailer.