Bulletin d'alerte Debian

DLA-302-1 zendframework -- Mise à jour de sécurité pour LTS

Date du rapport :
27 août 2015
Paquets concernés :
zendframework
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-5161.
Plus de précisions :

Dawid Golunski a découvert que Zend Framework, un cadriciel PHP, ne gérait pas correctement les données XML dans un encodage multioctet lorsqu'il tournait sous l'interface FPM de PHP dans un environnement à processus légers. Cela pourrait être utilisé par des attaquants distants pour réaliser une attaque d’entités externes XML grâce à des données XML contrefaites.

Pour Debian 6 Squeeze, ce problème a été corrigé dans la version 1.10.6-1squeeze5 de zendframework.