Рекомендация Debian по безопасности

DSA-2974-1 php5 -- обновление безопасности

Дата сообщения:
08.07.2014
Затронутые пакеты:
php5
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-0207, CVE-2014-3478, CVE-2014-3479, CVE-2014-3480, CVE-2014-3487, CVE-2014-3515, CVE-2014-4721.
Более подробная информация:

В PHP, языке сценариев общего назначения, часто используемом для разработки веб-приложений, были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2014-0207

    Франциско Алонсо из Red Hat Security Response Team сообщил о некорректной проверке границ массива в функции cdf_read_short_sector().

  • CVE-2014-3478

    Франциско Алонсо из Red Hat Security Response Team обнаружил проблему в способе вычисления размера укороченных строк в функции mconvert().

  • CVE-2014-3479

    Франциско Алонсо из Red Hat Security Response Team сообщил о некорректной проверке границ массива в функции cdf_check_stream_offset().

  • CVE-2014-3480

    Франциско Алонсо из Red Hat Security Response Team сообщил о недостаточной проверке границ массива в функции cdf_count_chain().

  • CVE-2014-3487

    Франциско Алонсо из Red Hat Security Response Team обнаружил недостаточную проверку границ массива в функции cdf_read_property_info().

  • CVE-2014-3515

    Штефан Эссер обнаружил, что обработчик unserialise() ArrayObject и SPLObjectStorage unserialize() не проверяет тип десериализуемых данных. Удалённый злоумышленник может использовать данную уязвимость для выполнения произвольного кода.

  • CVE-2014-4721

    Штефан Эссер обнаружил проблему с определением типа в функции phpinfo(), которая может позволить злоумышленнику получить чувствительную информация из памяти процесса.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 5.4.4-14+deb7u12. Кроме того, данное обновление содержит несколько исправлений ошибок, которые планировалось добавить в готовящейся редакции Wheezy.

В тестируемом выпуске (jessie) эти проблемы были исправлены в версии 5.6.0~rc2+dfsg-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 5.6.0~rc2+dfsg-1.

Рекомендуется обновить пакеты php5.