Debians sikkerhedsbulletin

DSA-5151-1 smarty3 -- sikkerhedsopdatering

Rapporteret den:
29. maj 2022
Berørte pakker:
smarty3
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 1010375, Fejl 1011758.
I Mitres CVE-ordbog: CVE-2021-21408, CVE-2021-26119, CVE-2021-26120, CVE-2021-29454, CVE-2022-29221.
Yderligere oplysninger:

Flere sikkerhedssårbarheder er opdaget i smarty3, PHP-skabelonmotoren der kan kompileres. Skabelonforfattere, som er i stand til at køre adgangsbegrænsede statiske PHP-metoder elelr endda vilkårlig PHP-kode, ved at fabrikere en ondsindet math-streng eller ved at vælge et ugyldigt {block}- eller {include}-filnavn. Hvis en math-streng blev overført som brugerleverede data til math-funktionen, kunne fjernbrugere også være i stand til at køre vilkårlig PHP-kode.

I den gamle stabile distribution (buster), er disse problemer rettet i version 3.1.33+20180830.1.3a78a21f+selfpack1-1+deb10u1.

I den stabile distribution (bullseye), er disse problemer rettet i version 3.1.39-2+deb11u1.

Vi anbefaler at du opgraderer dine smarty3-pakker.

For detaljeret sikkerhedsstatus vedrørende smarty3, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/smarty3