Bulletin d'alerte Debian

DLA-251-2 zendframework -- Mise à jour de sécurité pour LTS

Date du rapport :
23 juin 2015
Paquets concernés :
zendframework
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 743175, Bogue 754201.
Dans le dictionnaire CVE du Mitre : CVE-2012-6531, CVE-2012-6532, CVE-2014-2681, CVE-2014-2682, CVE-2014-2683, CVE-2014-2684, CVE-2014-2685, CVE-2014-4914, CVE-2014-8088, CVE-2014-8089, CVE-2015-3154.
Plus de précisions :

Le précédent envoi de zendframework corrige incorrectement CVE-2015-3154, provoquant une régression. Cette mise à jour corrige ce problème. Merci à Evgeny Smolin (Евгений Смолин).

  • CVE-2012-6531

    Pádraic Brady a identifié une faiblesse dans la gestion de la classe SimpleXMLElement de zendframework, permettant à des attaquants distants de lire des fichiers arbitraires ou de créer des connexions TCP à l'aide d'une attaque par injection d’entités externes XML (XXE).

  • CVE-2012-6532

    Pádraic Brady a découvert que des attaquants distants pourraient causer un déni de service par consommation de CPU, grâce à des références récursives ou circulaires à travers une attaque par expansion d’entités externes XML (XEE).

  • CVE-2014-2681

    Lukas Reschke a signalé une absence de protection contre des attaques par injection d’entités externes XML dans certaines fonctions. Cette correction complète la correction incomplète de CVE-2012-5657.

  • CVE-2014-2682

    Lukas Reschke a signalé un échec de la prise en compte du partage de la configuration de libxml_disable_entity_loader parmi les processus dans le cas de PHP-FPM. Cette correction complète la correction incomplète de CVE-2012-5657.

  • CVE-2014-2683

    Lukas Reschke a signalé une absence de protection contre des attaques par expansion d’entités externes XML dans certaines fonctions. Cette correction complète la correction incomplète de CVE-2012-6532.

  • CVE-2014-2684

    Christian Mainka et Vladislav Mladenov de l'Université de la Ruhr à Bochum ont signalé une erreur dans la méthode de vérification du consommateur qui mène à l'acceptation de jetons d'origine incorrecte.

  • CVE-2014-2685

    Christian Mainka et Vladislav Mladenov de l'Université de la Ruhr à Bochum ont signalé une violation de spécification dans laquelle la signature d'un seul paramètre est incorrectement considérée comme suffisante.

  • CVE-2014-4914

    Cassiano Dal Pizzol a découvert que l'implémentation de la variable ORDER BY SQL dans Zend_Db_Select contient une potentielle injection SQL quand la chaîne de la requête envoyée contient des parenthèses.

  • CVE-2014-8088

    Yury Dyachenko du Positive Research Center a identifié de potentiels vecteurs d’injection d’entités externes XML dus à l'utilisation non sécurisée de l'extension DOM de PHP.

  • CVE-2014-8089

    Jonas Sandström a découvert un vecteur d'injection SQL lors de la protection manuelle de valeur pour l'extension sqlsrv, en utilisant un octet NULL.

  • CVE-2015-3154

    Filippo Tessarotto et Maks3w ont signalé des attaques potentielles d'injection de fin de ligne (CRLF) dans les en-têtes de messages et HTTP.