Bulletin d'alerte Debian

DSA-3265-1 zendframework -- Mise à jour de sécurité

Date du rapport :
20 mai 2015
Paquets concernés :
zendframework
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 743175, Bogue 754201.
Dans le dictionnaire CVE du Mitre : CVE-2014-2681, CVE-2014-2682, CVE-2014-2683, CVE-2014-2684, CVE-2014-2685, CVE-2014-4914, CVE-2014-8088, CVE-2014-8089, CVE-2015-3154.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Zend Framework, un cadriciel PHP. À l'exception de CVE-2015-3154, tous ces problèmes ont déjà été corrigés dans la version fournie avec Jessie.

  • CVE-2014-2681

    Lukas Reschke a signalé une absence de protection contre des attaques par injection d’entités externes XML dans certaines fonctions. Cette correction complète la correction incomplète de CVE-2012-5657.

  • CVE-2014-2682

    Lukas Reschke a signalé un échec de la prise en compte du partage de la configuration de libxml_disable_entity_loader parmi les processus dans le cas de PHP-FPM. Cette correction complète la correction incomplète de CVE-2012-5657.

  • CVE-2014-2683

    Lukas Reschke a signalé une absence de protection contre des attaques par injection d’entités externes XML dans certaines fonctions. Cette correction complète la correction incomplète de CVE-2012-6532.

  • CVE-2014-2684

    Christian Mainka et Vladislav Mladenov de l'Université de la Ruhr à Bochum ont signalé une erreur dans la méthode de vérification du consommateur qui mène à l'acceptation de jetons d'origine incorrecte.

  • CVE-2014-2685

    Christian Mainka et Vladislav Mladenov de l'Université de la Ruhr à Bochum ont signalé une violation de spécification dans laquelle la signature d'un seul paramètre est incorrectement considérée comme suffisante.

  • CVE-2014-4914

    Cassiano Dal Pizzol a découvert que l'implémentation de la variable ORDER BY SQL dans Zend_Db_Select contient une potentielle injection SQL quand la chaîne de la requête envoyée contient des parenthèses.

  • CVE-2014-8088

    Yury Dyachenko du Positive Research Center ont identifié de potentiels vecteurs d’injection d’entités externes XML dus à l'utilisation non sécurisée de l'extension DOM de PHP.

  • CVE-2014-8089

    Jonas Sandström a découvert un vecteur d'injection SQL lors de la protection manuelle de valeur pour l'extension sqlsrv, en utilisant un octet NULL.

  • CVE-2015-3154

    Filippo Tessarotto et Maks3w ont signalé des attaques potentielles d'injection de fin de ligne (CRLF) dans les en-têtes de messages et HTTP.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.11.13-1.1+deb7u1.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.12.9+dfsg-2+deb8u1.

Pour la distribution testing (Stretch), ces problèmes seront corrigés dans la version 1.12.12+dfsg-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.12.12+dfsg-1.

Nous vous recommandons de mettre à jour vos paquets zendframework.