サーバサイドスクリプト言語 PHP バージョン 4 に、複数の問題が発見されま した。The Common Vulnerabilities and Exposures project は以下の問題を認 識しています。
session_start 関数が、リモートの攻撃者からの特殊文字を使ったセッシ ョンクッキーへの任意の後理ビュートの挿入を許します。このクッキーに は、様々なパラメータから得たものが使用できます。
glob() 関数を悪用することでサービス拒否攻撃を引き起こすことが可能で す。
wordwrap() 関数に細工した入力を与えることで、サービス拒否攻撃を引き 起こすことが可能です。
stspn() および strcspn() 関数に巨大な len 値を与えることにより、攻撃 者が整数オーバフローを引き起こしてメモリの中身を読み出したり、サービ ス拒否攻撃を引き起こすことなどの攻撃が可能です。
escapeshellcmd API 関数が、不完全なマルチバイト文字で攻撃可能です。
安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ ョン 6:4.4.4-8+etch6 で修正されています。
php4 パッケージは不安定版 (unstable) sid にはすでに存在していません。
直ぐに php4 パッケージをアップグレードすることを勧めます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。