Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Описание
Джеймс Кэттл, Ален Тимбло, Кристоф Ково и Фабьен Потенсье
обнаружили, что twig, движок шаблонов для PHP, неправильно
обрабатывает ввод. Конечные пользователи, которым разрешено отправлять шаблоны twig,
могут использовать специально сформированный код для удалённого вызова кода даже в
шаблонах, обрабатываемых в рамках песочницы.
В стабильном выпуске (jessie) эта проблема была исправлена в
версии 1.16.2-1+deb8u1.
В тестируемом (stretch) и нестабильном (sid) выпусках эта
проблема была исправлена в версии 1.20.0-1.
Рекомендуется обновить пакеты twig.
обнаружили, что twig, движок шаблонов для PHP, неправильно
обрабатывает ввод. Конечные пользователи, которым разрешено отправлять шаблоны twig,
могут использовать специально сформированный код для удалённого вызова кода даже в
шаблонах, обрабатываемых в рамках песочницы.
В стабильном выпуске (jessie) эта проблема была исправлена в
версии 1.16.2-1+deb8u1.
В тестируемом (stretch) и нестабильном (sid) выпусках эта
проблема была исправлена в версии 1.20.0-1.
Рекомендуется обновить пакеты twig.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
twig - 1.16.2-1+deb8u1
Debian GNU/Linux 8:
noarch:
twig - 1.16.2-1+deb8u1