Bulletin d'alerte Debian

DSA-2465-1 php5 -- Plusieurs vulnérabilités

Date du rapport :
9 mai 2012
Paquets concernés :
php5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-1172, CVE-2012-1823, CVE-2012-2311.
Plus de précisions :

De Eindbazen a découvert que PHP, s'il est exécuté avec mod_cgi, interprétera une chaîne de requête comme des paramètres de ligne de commande, permettant d'exécuter du code arbitraire.

De plus, cette mise à jour corrige une validation insuffisante de nom d'envoi qui permet de corrompre les indices $_FILES.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 5.3.3-7+squeeze9.

La distribution testing (Wheezy) sera corrigée prochainement.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 5.4.3-1.

Nous vous recommandons de mettre à jour vos paquets php5.