Debians sikkerhedsbulletin

DSA-2408-1 php5 -- flere sårbarheder

Rapporteret den:
13. feb 2012
Berørte pakker:
php5
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-1072, CVE-2011-4153, CVE-2012-0781, CVE-2012-0788, CVE-2012-0831, CVE-2010-4697, CVE-2011-1092, CVE-2011-1148, CVE-2011-1464, CVE-2011-1467, CVE-2011-1468, CVE-2011-1469, CVE-2011-1470, CVE-2011-1657, CVE-2011-3182, CVE-2011-3267.
Yderligere oplysninger:

Flere sårbarheder er opdaget i webskriptsproget PHP. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2011-1072

    Man opdagede, at usikker håndtering af midlertidige filer i PEAR-installer'en kunne føre til lammelsesangreb (denial of service).

  • CVE-2011-4153

    Maksymilian Arciemowicz opdagede, at en NULL-pointerdereference i funktionen zend_strndup() kunne føre til lammelsesangreb.

  • CVE-2012-0781

    Maksymilian Arciemowicz opdagede, at en NULL-pointerdereference i funktionen tidy_diagnose() kunne føre til lammelsesangreb.

  • CVE-2012-0788

    Man opdagede, at manglende kontroller i håndteringen af PDORow-objekter kunne føre til lammelsesangreb.

  • CVE-2012-0831

    Man opdagede, at indstillingen magic_quotes_gpc kunne fjern-deaktiveres.

Denne opdatering løser også PHP-fejl, der ikke behandles som sikkerhedsproblemer i Debian (se README.Debian.security), men som ikke desto mindre blev løst: CVE-2010-4697, CVE-2011-1092, CVE-2011-1148, CVE-2011-1464, CVE-2011-1467, CVE-2011-1468, CVE-2011-1469, CVE-2011-1470, CVE-2011-1657, CVE-2011-3182, CVE-2011-3267

I den stabile distribution (squeeze), er dette problem rettet i version 5.3.3-7+squeeze8.

I den ustabile distribution (sid), er dette problem rettet i version 5.3.10-1.

Vi anbefaler at du opgraderer dine php5-pakker.