Bulletin d'alerte Debian

DLA-326-1 zendframework -- Mise à jour de sécurité pour LTS

Date du rapport :
15 octobre 2015
Paquets concernés :
zendframework
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-7695.
Plus de précisions :

Les adaptateurs PDO de Zend Framework 1 ne filtraient pas les valeurs d'octet NULL dans les requêtes SQL. Un adaptateur PDO peut traiter des octets NULL dans une requête comme un code de terminaison de chaîne, permettant à un attaquant d'ajouter du code SQL arbitraire à la suite d'un octet NULL, et ainsi de créer une injection SQL.

Pour Debian 6 Squeeze, ce problème a été corrigé dans zendframework version 1.10.6-1squeeze6.