Bulletin d'alerte Debian

DSA-2961-1 php5 -- Mise à jour de sécurité

Date du rapport :
16 juin 2014
Paquets concernés :
php5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 751364.
Dans le dictionnaire CVE du Mitre : CVE-2014-4049.
Plus de précisions :

PHP, un langage de script généraliste couramment utilisé pour le développement d'applications web, est vulnérable à un dépassement de tas dans l'analyse d'un enregistrement TXT de DNS. Un serveur malveillant ou un attaquant de type « homme du milieu » pourrait éventuellement utiliser ce défaut pour exécuter du code arbitraire en tant qu'interpréteur PHP si une application PHP utilise dns_get_record() pour réaliser une requête DNS.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 5.4.4-14+deb7u11.

Pour la distribution testing (Jessie), ce problème a été corrigé dans la version 5.6.0~beta4+dfsg-3.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 5.6.0~beta4+dfsg-3.

Nous vous recommandons de mettre à jour vos paquets php5.