Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3750-1 libphp-phpmailer

Säkerhetsbulletin från Debian

DSA-3750-1 libphp-phpmailer -- säkerhetsuppdatering

Rapporterat den:

2016-12-31

Berörda paket:

libphp-phpmailer

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 849365.
I Mitres CVE-förteckning: CVE-2016-10033.

Ytterligare information:

Dawid Golunski upptäckte att PHPMailer, ett populärt bibliotek för att skicka e-post från PHP-applikationer, tillåter en fjärrangripare att köra kod om de kunde tillhandahålla en skapad avsändaradress.

Notera att för detta problem tilldelades även CVE-2016-10045, vilket är en regression i den ursprungliga patchen som föreslogs för CVE-2016-10033. Eftersom den ursprungliga rättelsen inte applicerades i Debian, var inte Debian sårbar för CVE-2016-10045.

För den stabila utgåvan (Jessie) har detta problem rättats i version 5.2.9+dfsg-2+deb8u2.

För den instabila utgåvan (Sid) har detta problem rättats i version 5.2.14+dfsg-2.1.

Vi rekommenderar att ni uppgraderar era libphp-phpmailer-paket.