Рекомендация Debian по безопасности

DLA-326-1 zendframework -- обновление безопасности LTS

Дата сообщения:
15.10.2015
Затронутые пакеты:
zendframework
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-7695.
Более подробная информация:

Адаптеры PDO из Zend Framework 1 не выполняют фильтрацию null-байтовых значений в утверждениях SQL. Адаптер PDO может рассматривать null-байты в запросе как символы ограничения строки, что позволяет злоумышленнику добавлять произвольный код SQL за null-байтом, что приводит к SQL-инъекции.

В Debian 6 Squeeze эта проблема была исправлена в zendframework версии 1.10.6-1squeeze6.