Bulletin d'alerte Debian
DSA-5151-1 smarty3 -- Mise à jour de sécurité
- Date du rapport :
- 29 mai 2022
- Paquets concernés :
- smarty3
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 1010375, Bogue 1011758.
Dans le dictionnaire CVE du Mitre : CVE-2021-21408, CVE-2021-26119, CVE-2021-26120, CVE-2021-29454, CVE-2022-29221. - Plus de précisions :
-
Plusieurs vulnérabilités de sécurité ont été découvertes dans smarty3, le moteur de compilation de modèles pour PHP. Les auteurs de modèles peuvent exécuter des méthodes PHP statiques restreintes ou même du code PHP arbitraire en confectionnant une chaîne mathématique malveillante ou en choisissant des noms de
{block}
ou de fichier{include}
non valables. Si une chaîne mathématique était passée à la fonction math en tant que données fournies par l'utilisateur, des utilisateurs distants étaient capables également d'exécuter du code PHP arbitraire.Pour la distribution oldstable (Buster), ces problèmes ont été corrigés dans la version 3.1.33+20180830.1.3a78a21f+selfpack1-1+deb10u1.
Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 3.1.39-2+deb11u1.
Nous vous recommandons de mettre à jour vos paquets smarty3.
Pour disposer d'un état détaillé sur la sécurité de smarty3, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/smarty3.