Debians sikkerhedsbulletin

DSA-2961-1 php5 -- sikkerhedsopdatering

Rapporteret den:
16. jun 2014
Berørte pakker:
php5
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 751364.
I Mitres CVE-ordbog: CVE-2014-4049.
Yderligere oplysninger:

Man opdagede at PHP, et skriptsprog til generel anvendelse, som almindeligvis anvendes til webapplikationsudvikling, var sårbar over for et heapbaseret bufferoverløb i fortolkningen af DNS TXT-poster. En ondsindet server eller manden i midten-angriber, kunne muligvis udnytte fejlen til at udføre vilkårlig kode som PHP-fortolkeren, hvis en PHP-applikation anvender dns_get_record() til at udføre en DNS-forespørgsel.

I den stabile distribution (wheezy), er dette problem rettet i version 5.4.4-14+deb7u11.

I distributionen testing (jessie), er dette problem rettet i version 5.6.0~beta4+dfsg-3.

I den ustabile distribution (sid), er dette problem rettet i version 5.6.0~beta4+dfsg-3.

Vi anbefaler at du opgraderer dine php5-pakker.