Рекомендация Debian по безопасности

DLA-302-1 zendframework -- обновление безопасности LTS

Дата сообщения:
27.08.2015
Затронутые пакеты:
zendframework
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-5161.
Более подробная информация:

Давид Голунски обнаружил, что при запуске Zend Framework, инфрастуктуры PHP, под PHP-FPM в многопоточном окружении последняя неправильно обрабатывает данные XML в многобайтовых кодировках. Указанная проблема может использоваться удалёнными злоумышленниками для выполнения атаки по принципу XML External Entity путём специально сформированных данных XML.

В Debian 6 Squeeze эта проблема была исправлена в zendframework версии 1.10.6-1squeeze5.