Säkerhetsbulletin från Debian

DSA-2742-1 php5 -- tolkningskonflikt

Rapporterat den:
2013-08-26
Berörda paket:
php5
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 719765.
I Mitres CVE-förteckning: CVE-2013-4248.
Ytterligare information:

Man har upptäckt att PHP, ett allmänt skriptspråk som vanligen används för utveckling av webbapplikationer, inte behandlade inbäddade NUL-tecken ordentligt i subjectAltName-extensionen av X.509-certifikat. Beroende på applikationen och med otillräckliga CA-nivåkontroller kunde detta utnyttjas för att härma andra användare.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 5.3.3-7+squeeze17.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 5.4.4-14+deb7u4.

För den instabila utgåvan (Sid) har detta problem rättats i version 5.5.3+dfsg-1.

Vi rekommenderar att ni uppgraderar era php5-paket.