Debians sikkerhedsbulletin
DSA-5151-1 smarty3 -- sikkerhedsopdatering
- Rapporteret den:
- 29. maj 2022
- Berørte pakker:
- smarty3
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 1010375, Fejl 1011758.
I Mitres CVE-ordbog: CVE-2021-21408, CVE-2021-26119, CVE-2021-26120, CVE-2021-29454, CVE-2022-29221. - Yderligere oplysninger:
-
Flere sikkerhedssårbarheder er opdaget i smarty3, PHP-skabelonmotoren der kan kompileres. Skabelonforfattere, som er i stand til at køre adgangsbegrænsede statiske PHP-metoder elelr endda vilkårlig PHP-kode, ved at fabrikere en ondsindet math-streng eller ved at vælge et ugyldigt {block}- eller {include}-filnavn. Hvis en math-streng blev overført som brugerleverede data til math-funktionen, kunne fjernbrugere også være i stand til at køre vilkårlig PHP-kode.
I den gamle stabile distribution (buster), er disse problemer rettet i version 3.1.33+20180830.1.3a78a21f+selfpack1-1+deb10u1.
I den stabile distribution (bullseye), er disse problemer rettet i version 3.1.39-2+deb11u1.
Vi anbefaler at du opgraderer dine smarty3-pakker.
For detaljeret sikkerhedsstatus vedrørende smarty3, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/smarty3