Säkerhetsbulletin från Debian

DSA-3198-1 php5 -- säkerhetsuppdatering

Rapporterat den:
2015-03-20
Berörda paket:
php5
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2015-2301, CVE-2015-2331, CVE-2015-2348, CVE-2015-2787.
Ytterligare information:

Flera sårbarheter har upptäckts i språket PHP:

  • CVE-2015-2301

    Användning efter frigörning i utökningen phar.

  • CVE-2015-2331

    Emmanuel Law upptäckte ett heltalsspill i behandlingen av ZIP-arkiv, vilket resulterar i överbelastning eller potentiellt körning av godtycklig kod.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 5.4.39-0+deb7u1. Denna uppdatering rättar även en regression i curl-stödet som introducerades i DSA 3195.

För den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era php5-paket.