Debian セキュリティ勧告

DSA-2742-1 php5 -- 解釈の衝突

報告日時:
2013-08-26
影響を受けるパッケージ:
php5
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 719765.
Mitre の CVE 辞書: CVE-2013-4248.
詳細:

PHP、広く利用されているウェブアプリケーション開発用多目的スクリプティング言語が X.509 証明書の subjectAltName 拡張に埋め込まれた NUL 文字を適切に処理していないことが発見されました。 アプリケーションによっては認証局レベルの確認が不十分なことと合わせ、 これを悪用して他のユーザになりすませる可能性があります。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 5.3.3-7+squeeze17 で修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 5.4.4-14+deb7u4 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 5.5.3+dfsg-1 で修正されています。

直ちに php5 パッケージをアップグレードすることを勧めます。