Рекомендация Debian по безопасности

DLA-251-2 zendframework -- обновление безопасности LTS

Дата сообщения:
23.06.2015
Затронутые пакеты:
zendframework
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 743175, Ошибка 754201.
В каталоге Mitre CVE: CVE-2012-6531, CVE-2012-6532, CVE-2014-2681, CVE-2014-2682, CVE-2014-2683, CVE-2014-2684, CVE-2014-2685, CVE-2014-4914, CVE-2014-8088, CVE-2014-8089, CVE-2015-3154.
Более подробная информация:

В предыдущей загрузке zendframework содержалось неправильное исправление CVE-2015-3154, вызывающее регресс. Данное обновление исправляет эту проблему. Благодарим Евгения Смолина.

  • CVE-2012-6531

    Пэдрэк Брэйди обнаружил уязвимость в обработке класса SimpleXMLElement, позволяющую удалённым злоумышленникам считывать произвольные файлы или создавать TCP-соединения через инъекцию внешней сущности XML (XXE).

  • CVE-2012-6532

    Пэдрэк Брэйди обнаружил, что удалённые злоумышленники могут вызвать отказ в обслуживании из-за чрезмерного потребления ресурсов ЦП с помощью рекурсивных или круговых ссылок через раскрытие сущности XML (XEE).

  • CVE-2014-2681

    Лукас Решке сообщил об отсутствии защиты от инъекции внешних сущностей XML в некоторых функциях. Данное исправление дополняет неполное исправление CVE-2012-5657.

  • CVE-2014-2682

    Лукас Решке сообщил об ошибке проверки того, что опция libxml_disable_entity_loader разделяется несколькими потоками в случае использования PHP-FPM. Данное исправление дополняет неполное исправление CVE-2012-5657.

  • CVE-2014-2683

    Лукас Решке сообщил об отсутствии защиты от раскрытия сущностей XML в некоторых функциях. Данное исправление дополняет неполное исправление CVE-2012-6532.

  • CVE-2014-2684

    Кристиан Маинка и Владислав Младенов из Рурского университета сообщили об ошибке в методе проверки покупателя, которая приводит к принятию токенов от неправильных источников.

  • CVE-2014-2685

    Кристиан Маинка и Владислав Младенов из Рурского университета сообщили о нарушении спецификации, в котором подпись единственного параметра ошибочно считается достаточной.

  • CVE-2014-4914

    Кассиано Дал Пиццол обнаружил, что реализация SQL-утверждения ORDER BY в Zend_Db_Select содержит потенциальную SQL-инъекцию в случае передачи строки запроса, содержащей скобки.

  • CVE-2014-8088

    Юрий Дьяченко из Positive Research Center обнаружил потенциальную инъекцию внешней сущности XML из-за небезопасного использования расширения DOM для PHP.

  • CVE-2014-8089

    Йонас Сандстрём обнаружил SQL-инъекцию при ручном закавычивании значения для расширения sqlsrv, используя null-байт.

  • CVE-2015-3154

    Филиппо Тессаротто и Maks3w сообщили о потенциальной инъекции CRLF в сообщениях электронной почты и заголовках HTTP.