Säkerhetsbulletin från Debian

DSA-2974-1 php5 -- säkerhetsuppdatering

Rapporterat den:
2014-07-08
Berörda paket:
php5
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-0207, CVE-2014-3478, CVE-2014-3479, CVE-2014-3480, CVE-2014-3487, CVE-2014-3515, CVE-2014-4721.
Ytterligare information:

Flera sårbarheter har upptäckts i PHP, ett allmänt skriptspråk som vanligtvis används för utveckling av webbapplikationer. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2014-0207

    Francisco Alonso från Red Hat Security Response Team rapporterade en felaktig kontroll av gränser i funktionen cdf_read_short_sector().

  • CVE-2014-3478

    Francisco Alonso från Red Hat Security Response Team upptäckte en brist i sättet som avklippt pascalsträngstorlek beräknas i funktionen mconvert().

  • CVE-2014-3479

    Francisco Alonso från Red Hat Security Response Team rapporterade en felaktig gränskontroll i funktionen cdf_check_stream_offset().

  • CVE-2014-3480

    Francisco Alonso från Red Hat Security Response Team rapporterade en otillräcklig kontroll av gränser i funktionen cdf_count_chain().

  • CVE-2014-3487

    Francisco Alonso från Red Hat Security Response Team upptäckte en felaktig kontroll av avgränsningar i funktionen cdf_read_property_info().

  • CVE-2014-3515

    Stefan Esser upptäckte att ArrayObject och SPLObjectStorage unserialize()-hanteraren inte verifierar typen av oserialiserad data innan den använder den. En fjärrangripare kunde använda denna brist för att köra illasinnad kod.

  • CVE-2014-4721

    Stefan Esser upptäckte ett problem med typförvirring som påverkar phpinfo(), som kan tillåta en angripare att få känslig information från processminne.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 5.4.4-14+deb7u12. Utöver detta innehåller denna uppdatering flera felrättningar som ursprungligen var tänkta för den kommande punktutgåvan av Wheezy.

För uttestningsutgåvan (Jessie) har dessa problem rättats i version 5.6.0~rc2+dfsg-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 5.6.0~rc2+dfsg-1.

Vi rekommenderar att ni uppgraderar era php5-paket.