Debians sikkerhedsbulletin

DSA-3074-1 php5 -- sikkerhedsopdatering

Rapporteret den:
18. nov 2014
Berørte pakker:
php5
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 768807.
I Mitres CVE-ordbog: CVE-2014-3710.
Yderligere oplysninger:

Francisco Alonso fra Red Hat Product Security fandt et problem i værktøjet file, hvis kode er indlejret i PHP, et generelt anvendeligt skriptsprog. Når ELF-filer blev undersøgt, blev bemærkningsheadere fejlagtigt kontrolleret, hvilket potentielt kunne gøre det muligt for angribere at forårsage et lammelsesangreb (læsning uden for grænserne og applikationsnedbrud), ved at leveret en særligt fremstillet ELF-fil.

Som annonceret i DSA-3064-1, har vi besluttet at følge de stabile 5.4.x-udgivelser hvad angår php5-pakkerne i Wheezy. Som følge der af er sårbarheden løst ved at opgradere PHP til en ny opstrømsversion, 5.4.35, der indeholder yderligere fejlrettelser, ny funktionalitet og muligvis inkompatible ændringer. Se optrømschangelog for flere oplysninger:

http://php.net/ChangeLog-5.php#5.4.35

I den stabile distribution (wheezy), er dette problem rettet i version 5.4.35-0+deb7u1.

Vi anbefaler at du opgraderer dine php5-pakker.