Debians sikkerhedsbulletin

DSA-2974-1 php5 -- sikkerhedsopdatering

Rapporteret den:
8. jul 2014
Berørte pakker:
php5
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-0207, CVE-2014-3478, CVE-2014-3479, CVE-2014-3480, CVE-2014-3487, CVE-2014-3515, CVE-2014-4721.
Yderligere oplysninger:

Flere sårbarheder blev fundet i PHP, et skriptsprog til generel anvendelse, som almindeligvis anvendes til webapplikationsudvikling. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2014-0207

    Francisco Alonso fra Red Hat Security Response Team rapporterede om en ukorrekt grænsekontrol i funktionen cdf_read_short_sector().

  • CVE-2014-3478

    Francisco Alonso fra Red Hat Security Response Team opdagede en fejl i den måde den trunkerede Pasccal-strengstørrelse i funktionen mconvert() beregnes.

  • CVE-2014-3479

    Francisco Alonso fra Red Hat Security Response Team rapporterede om en ukorrekt grænsekontrol i funktionen cdf_check_stream_offset().

  • CVE-2014-3480

    Francisco Alonso fra Red Hat Security Response Team rapporterede om en utilstrækkelig grænsekontrol i funktionen cdf_count_chain().

  • CVE-2014-3487

    Francisco Alonso fra Red Hat Security Response Team opdagede en ukorrekt grænsekontrol i funktionen cdf_read_property_info().

  • CVE-2014-3515

    Stefan Esser opdagede at unserialize()-handlerne ArrayObject og SPLObjectStorage ikke kontrollerede de userialiserede typers data, før de blev anvendt. En fjernangriber kunne udnytte fejlen til at udføre vilkårlig kode.

  • CVE-2014-4721

    Stefan Esser opdagede et typeforveksliningsproblem, som påvirkede phpinfo(), hvilket kunne medføre at en angriber kunne få adgang til følsomme oplysninger fra proceshukommelse.

I den stabile distribution (wheezy), er disse problemer rettet i version 5.4.4-14+deb7u12. Desuden indeholder opdateringen flere fejlrettelser, som oprindelig var tiltænkt den kommende punktopdatering af Wheezy.

I distributionen testing (jessie), er disse problemer rettet i version 5.6.0~rc2+dfsg-1.

I den ustabile distribution (sid), er disse problemer rettet i version 5.6.0~rc2+dfsg-1.

Vi anbefaler at du opgraderer dine php5-pakker.