DSA 1919-2
From BluWiki
DSA-1919-2 -- smarty -- Regresión
Fecha del reporte: 17 de ago de 2010
Paquetes afectados: smarty
Más información: Una regresión ha sido encontrada en la corrección aplicada en el DSA 1919-1 a smarty, que causó problemas de compilación en algunas plantillas especificas. Esta actualización corrige el problema. Para referencia se incluye el aviso original completo:
múltiples vulnerabilidades han sido descubiertas Smarty, un motor de planillas PHP. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:
- CVE-2008-4810: La función _expand_quoted_text permite para ciertas restricciones en plantillas, por el llamado de la función y la ejecución de PHP, que sean eludidas.
- CVE-2009-1669: La función smarty_function_math permite a atacantes dependientes del contexto ejecutar código arbitrario vía meta-caracteres shell en el atributo equation de la función math.
Para la distribución estable (lenny), este problema ha sido arreglado en la versión 2.6.20-1.3.
Las distribuciones de pruebas (squeeze) e inestable (sid) no son afectadas por esta regresión.
Le recomendamos actualizar su paquete smarty.
Original (en inglés): http://lists.debian.org/debian-security-announce/2010/msg00138.html
