Рекомендация Debian по безопасности

DSA-3008-1 php5 -- обновление безопасности

Дата сообщения:
21.08.2014
Затронутые пакеты:
php5
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-3538, CVE-2014-3587, CVE-2014-3597, CVE-2014-4670.
Более подробная информация:

В PHP, языке сценариев общего назначения, часто используемом для разработки веб-приложений, были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2014-3538

    Было обнаружено, что исправление для CVE-2013-7345 недостаточно. Удалённый злоумышленник всё ещё может вызвать отказ в обслуживании (чрезмерное потребление CPU) с помощью специально сформированного файла, который включает механизм возврата во время обработки правила для регулярных выражений в awk.

  • CVE-2014-3587

    Было обнаружено, что ПО для грамматического разбора CDF из модуля fileinfo неправильно обрабатывает некорректные файлы в формате Composite Document File (CDF), что приводит к аварийной остановке работы приложения.

  • CVE-2014-3597

    Было обнаружено, что исправление для CVE-2014-4049 недостаточно. Сервер или злоумышленник, производящий атаку по принципу человек-в-середине, может вызвать отказ в обслуживании (аварийную остановку) и выполнить произвольный код через специально сформированную запись DNS TXT.

  • CVE-2014-4670

    Было обнаружено, что PHP некорректно обрабатывает некоторые итераторы SPL. Локальный злоумышленник может использовать данную уязвимость для того, чтобы аварийно завершить работу PHP, что приводит к отказу в обслуживании.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 5.4.4-14+deb7u13. Кроме того, данное обновление включает в себя несколько исправлений ошибок, которые изначально планировалось включить в готовящуюся редакцию Wheezy.

В нестабильном выпуске (sid) эти проблемы будут исправлены позже.

Рекомендуется обновить пакеты php5.