Säkerhetsbulletin från Debian
DSA-3343-1 twig -- säkerhetsuppdatering
- Rapporterat den:
- 2015-08-26
- Berörda paket:
- twig
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2015-7809.
- Ytterligare information:
-
James Kettle, Alain Tiemblo, Christophe Coevoet och Fabien Potencier upptäckte att twig, ett mallmotor för PHP, inte behandlar sin indata ordentligt. Slutanvändare som tillåts att skicka twigmallar kunde använda speciellt skapad kod för att trigga fjärrexekvering, även i sandlådade mallar.
För den stabila utgåvan (Jessie) har detta problem rättats i version 1.16.2-1+deb8u1.
För uttestningsutgåvan (Stretch) och den instabila utgåvan (Sid), har detta problem rättats i version 1.20.0-1.
Vi rekommenderar att ni uppgraderar era twig-paket.