Plusieurs vulnérabilités à distance ont été découvertes dans PHP, un langage de script embarqué dans le HTML côté serveur, cela peut conduire à l'exécution de code arbitraire. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
Stefan Esser a découvert des vulnérabilités de découpe des réponses HTTP dans l'extension session. Cela n'affecte que la version 3.1 de Debian (Sarge).
Stefan Esser a découvert qu'un débordement d'entier dans les routines d'allocation de mémoire permettait d'outrepasser les restrictions de limite de mémoire. Cela n'affecte que la version 3.1 de Debian (Sarge) sur les architectures 64 bits.
On a découvert qu'un débordement de mémoire tampon dans l'extension xmlrpc permet l'exécution de code arbitraire.
Pour l'ancienne distribution stable (Sarge), ces problèmes ont été corrigés dans la version 4.3.10-22.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 4.4.4-8+etch4.
La distribution instable (Sid) ne contient plus php4.
Nous vous recommandons de mettre à jour vos paquets de PHP. Les paquets de la distribution Sarge pour les architectures hppa, mips et powerpc ne sont pas encore disponibles à cause de problèmes sur les hôtes de construction. Ils seront fournis ultérieurement.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.