Säkerhetsbulletin från Debian

DSA-2961-1 php5 -- säkerhetsuppdatering

Rapporterat den:
2014-06-16
Berörda paket:
php5
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 751364.
I Mitres CVE-förteckning: CVE-2014-4049.
Ytterligare information:

Man har upptäckt att PHP, ett skriptspråk för allmäna ändamål som vanligtvis används för utveckling av webbapplikationer, är sårbart för ett heap-baserat buffertspill i tolkningen av DNS TXT-poster. En illasinnad server eller man-in-the-middle-angripare kunde möjligen använda denna brist för att exekvera illasinnad kod som PHP-tolken om en PHP-applikation använder dns_get_record() för att utföra en DNS-förfrågan.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 5.4.4-14+deb7u11.

För uttestningsutgåvan (Jessie) har detta problem rättats i version 5.6.0~beta4+dfsg-3.

För den instabila utgåvan (Sid) har detta problem rättats i version 5.6.0~beta4+dfsg-3.

Vi rekommenderar att ni uppgraderar era php5-paket.