Debian セキュリティ勧告

DSA-2266-1 php5 -- 複数の脆弱性

報告日時:
2011-06-29
影響を受けるパッケージ:
php5
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2010-2531, CVE-2011-0420, CVE-2011-0421, CVE-2011-0708, CVE-2011-1153, CVE-2011-1466, CVE-2011-1471, CVE-2011-2202.
詳細:

複数の欠陥が、PHP に発見されました。攻撃により、サービス拒否攻撃や任 意のコードの実行の可能性があります。

  • CVE-2010-2531

    var_export() 関数に情報漏洩の可能性が発見されました。

  • CVE-2011-0421

    Zip モジュールにクラッシュする可能性があります。

  • CVE-2011-0708

    Exif モジュールに整数オーバフローが発見されました。

  • CVE-2011-1466

    Calendar モジュールに整数オーバフローが発見されました。

  • CVE-2011-1471

    Zip モジュールは不正な形式のアーカイブでのサービス拒否攻撃に脆弱で す。

  • CVE-2011-2202

    フォームベースのファイルアップロード (RFC1867) のパス名の検証が不 適切でした。

この更新では、セキュリティ問題ではないという扱いの二つのバグも併せて 修正されています。詳細と、PHP でのセキュリティサポートの範囲について README.Debian.security を参照ください (CVE-2011-0420, CVE-2011-1153)。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 5.2.6.dfsg.1-1+lenny12 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 5.3.3-7+squeeze3 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 5.3.6-12 で修正されています。

直ぐに php5 パッケージをアップグレードすることを勧めます。