Säkerhetsbulletin från Debian
DSA-3890-1 spip -- säkerhetsuppdatering
- Rapporterat den:
- 2017-06-21
- Berörda paket:
- spip
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 864921.
I Mitres CVE-förteckning: CVE-2017-9736. - Ytterligare information:
-
Emeric Boit från ANSSI rapporterade att SPIP, en webbsajtmotor för publicering felaktigt rengör värdet från X-Forwarded-Host HTTP-huvudfältet. En icke auktoriserad användare kan dra fördel av denna brist för att exekvera kod från fjärran.
För den stabila utgåvan (Stretch) har detta problem rättats i version 3.1.4-3~deb9u1.
För uttestningsutgåvan (buster) har detta problem rättats i version 3.1.4-3.
För den instabila distributionen (Sid) har detta problem rättats i version 3.1.4-3.
Vi rekommenderar att ni uppgraderar era spip-paket.