Debians sikkerhedsbulletin

DSA-3343-1 twig -- sikkerhedsopdatering

Rapporteret den:
26. aug 2015
Berørte pakker:
twig
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-7809.
Yderligere oplysninger:

James Kettle, Alain Tiemblo, Christophe Coevoet og Fabien Potencier opdagede at twig, en skabelonmotor til PHP, ikke på korrekt vis behandlede sine inddata. Slutbrugere med tilladelse til at indsende twig-skabeloner, kunne anvende særligt fremstillet kode til at fjernudløse udførelse af kode, selv for skabeloner i sandkassen.

I den stabile distribution (jessie), er dette problem rettet i version 1.16.2-1+deb8u1.

I distributionen testing (stretch) og i den ustabile distributions (sid), er dette problem rettet i version 1.20.0-1.

Vi anbefaler at du opgraderer dine twig-pakker.