Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2266-1 php5

Bulletin d'alerte Debian

DSA-2266-1 php5 -- Plusieurs vulnérabilités

Date du rapport :

29 juin 2011

Paquets concernés :

php5

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2010-2531, CVE-2011-0420, CVE-2011-0421, CVE-2011-0708, CVE-2011-1153, CVE-2011-1466, CVE-2011-1471, CVE-2011-2202.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans PHP, qui pourraient conduire à un déni de service ou éventuellement l'exécution de code arbitraire.

• CVE-2010-2531

  Une fuite d'informations a été découverte dans la fonction var_export().

• CVE-2011-0421

  Le module Zip pourrait planter.

• CVE-2011-0708

  Un débordement d'entier a été découvert dans le module Exif.

• CVE-2011-1466

  Un débordement d'entier a été découvert dans le module Calendar.

• CVE-2011-1471

  Le module Zip était prédisposé au déni de service à l'aide d'archives malformées.

• CVE-2011-2202

  Les noms de chemin dans les envois de fichiers à partir d'un formulaire (RFC 1867) étaient validés de façon incorrecte.

Cette mise à jour corrige aussi deux bogues, qui ne sont pas traités comme des problèmes de sécurité, mais corrigés néanmoins, consultez README.Debian.security pour plus de précisions sur la portée du suivi en sécurité pour PHP (CVE-2011-0420, CVE-2011-1153).

Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 5.2.6.dfsg.1-1+lenny12.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 5.3.3-7+squeeze3.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 5.3.6-12.

Nous vous recommandons de mettre à jour vos paquets php5.