Debian セキュリティ勧告

DSA-2465-1 php5 -- 複数の脆弱性

報告日時:
2012-05-09
影響を受けるパッケージ:
php5
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2012-1172, CVE-2012-1823, CVE-2012-2311.
詳細:

De Eindbazen さんにより、PHP を mod_cgi と組み合わせて使っている場合、 クエリ文字列がコマンドラインパラメータとして解釈されるため、任意のコ ードの実行を許すことが発見されました。

更に、この更新ではアップロード名の検証が不十分なため、$_FILES インデ クスに壊れた値が入る欠陥も修正しています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 5.3.3-7+squeeze9 で修正されています。

テスト版 (testing) ディストリビューションでは、この問題は近く修正予定 です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 5.4.3-1 で修正されています。

直ぐに php5 パッケージをアップグレードすることを勧めます。