Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3343-1 twig

Bulletin d'alerte Debian

DSA-3343-1 twig -- Mise à jour de sécurité

Date du rapport :

26 août 2015

Paquets concernés :

twig

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-7809.

Plus de précisions :

James Kettle, Alain Tiemblo, Christophe Coevoet et Fabien Potencier ont découvert que twig, un moteur de modèles pour PHP, ne traitait pas correctement ses entrées. Les utilisateurs finaux ayant le droit de soumettre des modèles twig pourraient utiliser du code contrefait pour l'occasion pour déclencher l'exécution de code distant, même dans des modèles dans un bac à sable.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 1.16.2-1+deb8u1.

Pour la distribution testing (Stretch) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1.20.0-1.

Nous vous recommandons de mettre à jour vos paquets twig.