Информация по безопасности / 2015 / Информация о безопасности -- DSA-3343-1 twig

Рекомендация Debian по безопасности

DSA-3343-1 twig -- обновление безопасности

Дата сообщения:

26.08.2015

Затронутые пакеты:

twig

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-7809.

Более подробная информация:

Джеймс Кэттл, Ален Тимбло, Кристоф Ково и Фабьен Потенсье обнаружили, что twig, движок шаблонов для PHP, неправильно обрабатывает ввод. Конечные пользователи, которым разрешено отправлять шаблоны twig, могут использовать специально сформированный код для удалённого вызова кода даже в шаблонах, обрабатываемых в рамках песочницы.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 1.16.2-1+deb8u1.

В тестируемом (stretch) и нестабильном (sid) выпусках эта проблема была исправлена в версии 1.20.0-1.

Рекомендуется обновить пакеты twig.