Рекомендация Debian по безопасности

DSA-2465-1 php5 -- несколько уязвимостей

Дата сообщения:
09.05.2012
Затронутые пакеты:
php5
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2012-1172, CVE-2012-1823, CVE-2012-2311.
Более подробная информация:

Де Айндбацен обнаружил, что PHP, при запуске вместе с mod_cgi, интерпретирует запрос как параметры командной строки, что позволяет выполнить произвольный код.

Кроме того, данное обновление исправляет недостаточную проверку имени загрузки, которая приводит к повреждению указателей $_FILES.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 5.3.3-7+squeeze9.

В тестируемом выпуске (wheezy) эта проблема будет исправлена позже.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 5.4.3-1.

Рекомендуется обновить пакеты php5.