2018-0155: Smarty: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-01-23 16:30)

Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Smarty im Zusammenhang mit selbst angelegten Ressourcen ausnutzen, um beliebigen Programmcode auf dem Smarty-Host zur Ausführung zu bringen. Die Schwachstelle kann beispielsweise über speziell präparierte Kommentare ausgenutzt werden.

Der Hersteller behebt die Schwachstelle in der Entwicklungsversion 3.1.32 - dev, das entsprechende produktive Sicherheitsupdate steht aber noch nicht zur Verfügung.

Für Debian Jessie (oldstable) und Stretch (stable) stehen Backport-Sicherheitsupdates für das Paket 'smarty3' bereit.

Schwachstellen:

CVE-2017-1000480

Schwachstelle in Smarty ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.