Säkerhetsbulletin från Debian

DSA-2266-1 php5 -- flera sårbarheter

Rapporterat den:
2011-06-29
Berörda paket:
php5
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2010-2531, CVE-2011-0420, CVE-2011-0421, CVE-2011-0708, CVE-2011-1153, CVE-2011-1466, CVE-2011-1471, CVE-2011-2202.
Ytterligare information:

Flera sårbarheter har upptäckts i PHP, vilket kunde leda till överbelastning eller potentiellt körning av godtycklig kod.

  • CVE-2010-2531

    Ett informationsläckage har upptäckts i funktionen var_export().

  • CVE-2011-0421

    Zip-modulen kunde krascha.

  • CVE-2011-0708

    Ett heltalsspill har upptäckts i Exif-modulen.

  • CVE-2011-1466

    Ett heltalsspill upptäcktes i Kalender-modulen.

  • CVE-2011-1471

    Zip-modulen var sårbar för överbelastning genom felaktigt formatterade arkiv.

  • CVE-2011-2202

    Sökvägsnamn i formulärbaserade filuppladdningar (RFC 1867) validerades felaktigt.

Denna uppdatering rättar även två fel, som inte behandlas som säkerhetsproblem, men rättas ändå, se README.Debian.security för detaljerna rörande säkerhetsstöd för PHP (CVE-2011-0420, CVE-2011-1153).

För den gamla stabila utgåvan (Lenny) har dessa problem rättats i version 5.2.6.dfsg.1-1+lenny12.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 5.3.3-7+squeeze3.

För den instabila utgåvan (Sid) har dessa problem rättats i version 5.3.6-12.

Vi rekommenderar att ni uppgraderar era php5-paket.