Stefan Esser, qui est également un membre de l'équipe PHP, a trouvé de nombreuses failles dans la manière dont PHP manipule les requêtes POST multipart/form-data (telles que décrites dans la RFC 1867) connues sous le nom de téléchargement de fichiers sur le serveur POST (POST fileuploads). Chacune des failles peut permettre à un assaillant d'exécuter du code arbitraire sur les victimes du système.
Pour PHP3, les failles contiennent une mauvaise vérification des limites ainsi qu'un débordement arbitraire de tas. Pour PHP4, elles consistent en une mauvaise vérification des limites et d'une erreur de retrait de tête de tas de un.
Pour la distribution stable de Debian, ces problèmes ont été corrigés avec la version 3.0.18-0potato1.1 de PHP3 et la version 4.0.3pl1-0potato3 de PHP4.
Pour les distributions unstable et testing de Debian, ces problèmes ont été corrigés avec la version 3.0.18-22 de PHP3 et la version 4.1.2-1 de PHP4.
Il n'y a pas de paquet PHP4 pour les distributions stable et unstable pour l'architecture arm pour causes d'erreurs de compilation.
Nous vous recommandons de mettre à jour vos paquets PHP immédiatement.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.