Säkerhetsbulletin från Debian

DSA-1315-1 libphp-phpmailer -- kontrollerar inte indata

Rapporterat den:

2007-06-21

Berörda paket:

libphp-phpmailer

Sårbara:

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2007-3215.

Ytterligare information:

Thor Larholm upptäckte att libphp-phpmailer, en e-postöverföringsklass för PHP, inte utförde tillräcklig kontroll av indata om den är inställd på att använda Sendmail. Detta gjorde det möjligt att exekvera godtyckliga skalkommandon.

Den gamla stabila utgåvan (Sarge) innehåller inte libphp-phpmailer.

För den stabila utgåvan (Etch) har detta problem rättats i version 1.73-2etch1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.73-4.

Vi rekommenderar att ni uppgraderar ert libphp-phpmailer-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:: http://security.debian.org/pool/updates/main/libp/libphp-phpmailer/libphp-phpmailer_1.73-2etch1.dsc; http://security.debian.org/pool/updates/main/libp/libphp-phpmailer/libphp-phpmailer_1.73-2etch1.diff.gz; http://security.debian.org/pool/updates/main/libp/libphp-phpmailer/libphp-phpmailer_1.73.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/libp/libphp-phpmailer/libphp-phpmailer_1.73-2etch1_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.