Debians sikkerhedsbulletin

DSA-2266-1 php5 -- flere sårbarheder

Rapporteret den:
29. jun 2011
Berørte pakker:
php5
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2010-2531, CVE-2011-0420, CVE-2011-0421, CVE-2011-0708, CVE-2011-1153, CVE-2011-1466, CVE-2011-1471, CVE-2011-2202.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i PHP, hvilke kunne føre til lammelsesangreb (denial of service) eller potentielt udførelse af vilkårlig kode.

  • CVE-2010-2531

    En informationslækage blev fundet i funktionen var_export().

  • CVE-2011-0421

    Zip-modulet kunne gå ned.

  • CVE-2011-0708

    Et heltalsoverløb blev fundet i Exif-modulet.

  • CVE-2011-1466

    Et heltalsoverløb blev fundet i Calendar-modulet.

  • CVE-2011-1471

    Zip-modulet var sårbart over for et lammelsesangreb via misdannede arkiver.

  • CVE-2011-2202

    Stinavne i formularbaseret filupload (RFC 1867) blev valideret på ukorrekt vis.

Denne opdatering retter også to fejl, der ikke behandles som sikkerhedsproblemer, men ikke desto mindre er rettet, se README.Debian.security for oplysninger om omfanget af sikkerhedsunderstøttelse i PHP (CVE-2011-0420, CVE-2011-1153).

I den gamle stabile distribution (lenny), er disse problemer rettet i version 5.2.6.dfsg.1-1+lenny12.

I den stabile distribution (squeeze), er disse problemer rettet i version 5.3.3-7+squeeze3.

I den ustabile distribution (sid), er disse problemer rettet i version 5.3.6-12.

Vi anbefaler at du opgraderer dine php5-pakker.