Debians sikkerhedsbulletin

DSA-3198-1 php5 -- sikkerhedsopdatering

Rapporteret den:
20. mar 2015
Berørte pakker:
php5
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-2301, CVE-2015-2331, CVE-2015-2348, CVE-2015-2787.
Yderligere oplysninger:

Adskilligere sårbarheder er opdaget i PHP-sproget:

  • CVE-2015-2301

    Anvendelse efter frigivelse i phar-udvidelsen.

  • CVE-2015-2331

    Emmanuel Law opdagede et heltalsoverløb i behandlingen af ZIP-arkiver, medførende lammelsesangreb eller potentielt udførelse af vilkårlig kode.

I den stabile distribution (wheezy), er disse problemer rettet i version 5.4.39-0+deb7u1. Opdateringen retter en regression i curl-understøttelsen, opstået i DSA 3195.

I den ustabile distribution (sid), vil disse problemer snart blive rettet.

Vi anbefaler at du opgraderer dine php5-pakker.