Debians sikkerhedsbulletin
DSA-3343-1 twig -- sikkerhedsopdatering
- Rapporteret den:
- 26. aug 2015
- Berørte pakker:
- twig
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2015-7809.
- Yderligere oplysninger:
-
James Kettle, Alain Tiemblo, Christophe Coevoet og Fabien Potencier opdagede at twig, en skabelonmotor til PHP, ikke på korrekt vis behandlede sine inddata. Slutbrugere med tilladelse til at indsende twig-skabeloner, kunne anvende særligt fremstillet kode til at fjernudløse udførelse af kode, selv for skabeloner i sandkassen.
I den stabile distribution (jessie), er dette problem rettet i version 1.16.2-1+deb8u1.
I distributionen testing (stretch) og i den ustabile distributions (sid), er dette problem rettet i version 1.20.0-1.
Vi anbefaler at du opgraderer dine twig-pakker.