Информация по безопасности / 2017 / Информация о безопасности -- DSA-3890-1 spip

Рекомендация Debian по безопасности

DSA-3890-1 spip -- обновление безопасности

Дата сообщения:

21.06.2017

Затронутые пакеты:

spip

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 864921.
В каталоге Mitre CVE: CVE-2017-9736.

Более подробная информация:

Эмерик Боит из ANSSI сообщил, что SPIP, движок для публикаций на веб-сайтах, недостаточно очищает значение поля HTTP-заголовка X-Forwarded-Host. Неаутентифицированный злоумышленник может использовать эту уязвимость для удалённого выполнения кода.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 3.1.4-3~deb9u1.

В тестируемом выпуске (buster) эта проблема была исправлена в версии 3.1.4-3.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 3.1.4-3.

Рекомендуется обновить пакеты spip.