Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2465-1 php5

Bulletin d'alerte Debian

DSA-2465-1 php5 -- Plusieurs vulnérabilités

Date du rapport :

9 mai 2012

Paquets concernés :

php5

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-1172, CVE-2012-1823, CVE-2012-2311.

Plus de précisions :

De Eindbazen a découvert que PHP, s'il est exécuté avec mod_cgi, interprétera une chaîne de requête comme des paramètres de ligne de commande, permettant d'exécuter du code arbitraire.

De plus, cette mise à jour corrige une validation insuffisante de nom d'envoi qui permet de corrompre les indices $_FILES.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 5.3.3-7+squeeze9.

La distribution testing (Wheezy) sera corrigée prochainement.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 5.4.3-1.

Nous vous recommandons de mettre à jour vos paquets php5.