Bulletin d'alerte Debian

DSA-3117-1 php5 -- Mise à jour de sécurité

Date du rapport :
31 décembre 2014
Paquets concernés :
php5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-8142.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans PHP, un langage de script généraliste couramment utilisé pour le développement d'applications web.

Comme cela a été annoncé dans DSA 3064-1, il a été décidé de suivre les versions stables 5.4.x pour les paquets php5 de Wheezy. En conséquence, les vulnérabilités sont réglées en mettant à niveau PHP vers une nouvelle version amont 5.4.36, qui contient des corrections de bogue supplémentaires, de nouvelles fonctionnalités et éventuellement des modifications incompatibles. Veuillez vous référer à la liste de changements de l'amont pour plus d'informations :

http://php.net/ChangeLog-5.php#5.4.36

Deux correctifs supplémentaires ont été appliqués à la nouvelle version amont importée. Un défaut de lecture hors limites, qui pourrait faire planter php5-cgi, a été corrigé. En outre, un bogue de php5-pgsql en combinaison avec PostgreSQL 9.1 a été corrigé(bogue Debian n° 773182).

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 5.4.36-0+deb7u1.

Nous vous recommandons de mettre à jour vos paquets php5.