Sikkerhedsoplysninger / 2017 / Sikkerhedsoplysninger -- DSA-3890-1 spip

Debians sikkerhedsbulletin

DSA-3890-1 spip -- sikkerhedsopdatering

Rapporteret den:

21. jun 2017

Berørte pakker:

spip

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 864921.
I Mitres CVE-ordbog: CVE-2017-9736.

Yderligere oplysninger:

Emeric Boit fra ANSSI rapporterede at SPIP, en webstedsmotor til udgivelse, på utilstrækkelig vis fornuftighedskontrollerede værdien fra HTTP-headerfeltet X-Forwarded-Host. En uautentificeret angriber kunne drage nytte af fejlen til fjernudførelse af kode.

I den stabile distribution (stretch), er dette problem rettet i version 3.1.4-3~deb9u1.

I distributionen testing (buster), er dette problem rettet i version 3.1.4-3.

I den ustabile distribution (sid), er dette problem rettet i version 3.1.4-3.

Vi anbefaler at du opgraderer dine spip-pakker.