Bulletin d'alerte Debian

DSA-2266-1 php5 -- Plusieurs vulnérabilités

Date du rapport :
29 juin 2011
Paquets concernés :
php5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2010-2531, CVE-2011-0420, CVE-2011-0421, CVE-2011-0708, CVE-2011-1153, CVE-2011-1466, CVE-2011-1471, CVE-2011-2202.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans PHP, qui pourraient conduire à un déni de service ou éventuellement l'exécution de code arbitraire.

  • CVE-2010-2531

    Une fuite d'informations a été découverte dans la fonction var_export().

  • CVE-2011-0421

    Le module Zip pourrait planter.

  • CVE-2011-0708

    Un débordement d'entier a été découvert dans le module Exif.

  • CVE-2011-1466

    Un débordement d'entier a été découvert dans le module Calendar.

  • CVE-2011-1471

    Le module Zip était prédisposé au déni de service à l'aide d'archives malformées.

  • CVE-2011-2202

    Les noms de chemin dans les envois de fichiers à partir d'un formulaire (RFC 1867) étaient validés de façon incorrecte.

Cette mise à jour corrige aussi deux bogues, qui ne sont pas traités comme des problèmes de sécurité, mais corrigés néanmoins, consultez README.Debian.security pour plus de précisions sur la portée du suivi en sécurité pour PHP (CVE-2011-0420, CVE-2011-1153).

Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 5.2.6.dfsg.1-1+lenny12.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 5.3.3-7+squeeze3.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 5.3.6-12.

Nous vous recommandons de mettre à jour vos paquets php5.