セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2266-1 php5

Debian セキュリティ勧告

DSA-2266-1 php5 -- 複数の脆弱性

報告日時:

2011-06-29

影響を受けるパッケージ:

php5

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2010-2531, CVE-2011-0420, CVE-2011-0421, CVE-2011-0708, CVE-2011-1153, CVE-2011-1466, CVE-2011-1471, CVE-2011-2202.

詳細:

複数の欠陥が、PHP に発見されました。攻撃により、サービス拒否攻撃や任 意のコードの実行の可能性があります。

• CVE-2010-2531

  var_export() 関数に情報漏洩の可能性が発見されました。

• CVE-2011-0421

  Zip モジュールにクラッシュする可能性があります。

• CVE-2011-0708

  Exif モジュールに整数オーバフローが発見されました。

• CVE-2011-1466

  Calendar モジュールに整数オーバフローが発見されました。

• CVE-2011-1471

  Zip モジュールは不正な形式のアーカイブでのサービス拒否攻撃に脆弱で す。

• CVE-2011-2202

  フォームベースのファイルアップロード (RFC1867) のパス名の検証が不 適切でした。

この更新では、セキュリティ問題ではないという扱いの二つのバグも併せて 修正されています。詳細と、PHP でのセキュリティサポートの範囲について README.Debian.security を参照ください (CVE-2011-0420, CVE-2011-1153)。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 5.2.6.dfsg.1-1+lenny12 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 5.3.3-7+squeeze3 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 5.3.6-12 で修正されています。

直ぐに php5 パッケージをアップグレードすることを勧めます。