Рекомендация Debian по безопасности

DSA-2602-1 zendframework -- включение внешней сущности XML

Дата сообщения:
08.01.2013
Затронутые пакеты:
zendframework
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 696483.
В каталоге Mitre CVE: CVE-2012-5657.
Более подробная информация:

Юрий Дяченко обнаружил, что Zend Framework использует ПО для грамматического разбора PHP XML небезопасным способом, позволяя атакующим открывать файлы и выполнять запросы HTTP, потенциально получая доступ к ограниченной информации.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.10.6-1squeeze2.

В тестируемом выпуске (wheezy) эта проблема была исправлена в версии 1.11.13-1.1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.11.13-1.1.

Рекомендуется обновить пакеты zendframework.