Рекомендация Debian по безопасности

DSA-2961-1 php5 -- обновление безопасности

Дата сообщения:
16.06.2014
Затронутые пакеты:
php5
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 751364.
В каталоге Mitre CVE: CVE-2014-4049.
Более подробная информация:

Было обнаружено, что PHP, язык сценариев общего назначения, часто используемый для разработки веб-приложений, уязвим к переполнению динамической памяти, возникающем при грамматическом разборе TXT записи DNS. Сервер, либо злоумышленник, осуществляющий атаку по принципу человек-в-середине, может использовать данную уязвимость для выполнения произвольного кода в интерпретаторе PHP в случае, если приложение, написанное на языке PHP, использует функцию dns_get_record() для выполнения запроса к DNS.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 5.4.4-14+deb7u11.

В тестируемом выпуске (jessie) эта проблема была исправлена в версии 5.6.0~beta4+dfsg-3.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 5.6.0~beta4+dfsg-3.

Рекомендуется обновить пакеты php5.