Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-3769-1 libphp-swiftmailer

Bulletin d'alerte Debian

DSA-3769-1 libphp-swiftmailer -- Mise à jour de sécurité

Date du rapport :

22 janvier 2017

Paquets concernés :

libphp-swiftmailer

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 849626.
Dans le dictionnaire CVE du Mitre : CVE-2016-10074.

Plus de précisions :

Dawid Golunski de LegalHackers a découvert que PHP Swift Mailer, une solution de courrier pour PHP, ne validait pas correctement les entrées de l'utilisateur. Cela permettait à un attaquant distant d'exécuter du code arbitraire en passant des adresses de courriel spécialement formatées dans des en-têtes de courriel particuliers.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 5.2.2-1+deb8u1.

Pour la distribution testing (Stretch) et la distribution unstable (Sid), ce problème a été corrigé dans la version 5.4.2-1.1.

Nous vous recommandons de mettre à jour vos paquets libphp-swiftmailer.