Debians sikkerhedsbulletin
DSA-2465-1 php5 -- flere sårbarheder
- Rapporteret den:
- 9. maj 2012
- Berørte pakker:
- php5
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2012-1172, CVE-2012-1823, CVE-2012-2311.
- Yderligere oplysninger:
-
De Eindbazen opdagede, at PHP, når der køres med mod_cgi-tilstand, fortolkede en query-streng som kommandolinjeparametre, hvilket gjorde det muligt at udføre vilkårlig kode.
Desuden rette denne opdatering utilstrækkelig validering af uploadnavne, som førte til ødelagte $_FILES-indeks.
I den stabile distribution (squeeze), er dette problem rettet i version 5.3.3-7+squeeze9.
Distributionen testing (wheezy) vil snart blive rettet.
I den ustabile distribution (sid), er dette problem rettet i version 5.4.3-1.
Vi anbefaler at du opgraderer dine php5-pakker.