Debians sikkerhedsbulletin

DSA-3265-1 zendframework -- sikkerhedsopdatering

Rapporteret den:
20. maj 2015
Berørte pakker:
zendframework
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 743175, Fejl 754201.
I Mitres CVE-ordbog: CVE-2014-2681, CVE-2014-2682, CVE-2014-2683, CVE-2014-2684, CVE-2014-2685, CVE-2014-4914, CVE-2014-8088, CVE-2014-8089, CVE-2015-3154.
Yderligere oplysninger:

Adskillige sårbarheder blev opdaget i Zend Framework, et PHP-framework. Bortset fra CVE-2015-3154, er alle nedennævnte problemer allerede rettet i den første version, som blev udsendt med Jessie.

  • CVE-2014-2681

    Lukas Reschke rapporterede om manglende beskyttelse mod XML External Entity-indsprøjtningsangreb i nogle funktioner. Rettelsen udvider den ufuldstændige fra CVE-2012-5657.

  • CVE-2014-2682

    Lukas Reschke rapporterede om, at der ikke blev taget i betragtning, at indstillingen libxml_disable_entity_loader deles blandt tråde i PHP-FPM's tilfælde. Rettelsen udvider den ufuldstændige fra CVE-2012-5657.

  • CVE-2014-2683

    Lukas Reschke rapporterede om manglende beskyttelse mod XML Entity Expansion-angreb i nogle funktioner. Rettelsen udvider den ufuldstændige fra CVE-2012-6532.

  • CVE-2014-2684

    Christian Mainka og Vladislav Mladenov fra Ruhr-University Bochum rapporterede om en fejl i consumer'erens verifikationsmetode, som kunne føre til accept af tokens med et forkert ophav.

  • CVE-2014-2685

    Christian Mainka og Vladislav Mladenov fra Ruhr-University Bochum rapporterede om en specifikationsovertrædelse, hvor signering af et enkelt parameter fejlagtigt blev anset for at være tilstrækkeligt.

  • CVE-2014-4914

    Cassiano Dal Pizzol opdagede at implementeringen af ORDER BY SQL-statementet i Zend_Db_Select, indeholdt en potentiel SQL-indsprøjtningssårbarhed, når den modtagne querystreng indeholder parenteser.

  • CVE-2014-8088

    Yury Dyachenko fra Positive Research Center opdagede potentielle XML eXternal Entity-indsprøjtnings-angrebsvinkler på grund af usikker anvendelse af PHP's DOM-udvidelse.

  • CVE-2014-8089

    Jonas Sandström opdagede en SQL-indsprøjtnings-angrebsvinkel, når der værdier manuelt sættes i anførselstegn til brug i sqlsrv-udvidelsen, med brug af nullbyte.

  • CVE-2015-3154

    Filippo Tessarotto og Maks3w rapporterede om potentielle CRLF-indsprøjtningsangreb i mail- og HTTP-headere.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 1.11.13-1.1+deb7u1.

I den stabile distribution (jessie), er disse problemer rettet i version 1.12.9+dfsg-2+deb8u1.

I distributionen testing (stretch), vil disse problemer blive rettet i version 1.12.12+dfsg-1.

I den ustabile distribution (sid), er disse problemer rettet i version 1.12.12+dfsg-1.

Vi anbefaler at du opgraderer dine zendframework-pakker.