Рекомендация Debian по безопасности

DSA-3265-1 zendframework -- обновление безопасности

Дата сообщения:
20.05.2015
Затронутые пакеты:
zendframework
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 743175, Ошибка 754201.
В каталоге Mitre CVE: CVE-2014-2681, CVE-2014-2682, CVE-2014-2683, CVE-2014-2684, CVE-2014-2685, CVE-2014-4914, CVE-2014-8088, CVE-2014-8089, CVE-2015-3154.
Более подробная информация:

В Zend Framework, инфраструктуре PHP, были обнаружены многочисленные уязвимости. За исключением CVE-2015-3154 все эти проблемы уже были исправлены в версии, вошедшей в Jessie.

  • CVE-2014-2681

    Лукас Решке сообщил об отсутствии в некоторых функциях защиты от инъекций внешних сущностей XML. Данное исправление дополняет неполное исправление для CVE-2012-5657.

  • CVE-2014-2682

    Лукас Решке сообщил о невозможности проверки того, что libxml_disable_entity_loader разделяется среди нитей в случае PHP-FPM. Данное исправление дополняет неполное исправление для CVE-2012-5657.

  • CVE-2014-2683

    Лукас Решке сообщил об отсутствии в некоторых функциях защиты от атак по принципу подстановки сущностей XML. Данное исправление дополняет неполное исправление для CVE-2012-6532.

  • CVE-2014-2684

    Кристиан Маинка и Владислав Младенов из Рурского университета сообщили об ошибке в методе проверки получателя, которая приводит к принятию токенов от неверного источника.

  • CVE-2014-2685

    Кристиан Маинка и Владислав Младенов из Рурского университета сообщили о нарушении спецификации, в котором подписывание единичного параметра некорректно считается достаточным.

  • CVE-2014-4914

    Кассиано Дал Пиццоль обнаружил, что реализация SQL-утверждения ORDER BY в Zend_Db_Select содержит потенциальную возможность выполнения SQL-инъекций при передаче запроса, содержащего скобки.

  • CVE-2014-8088

    Юрий Дьяченко из Positive Research Center обнаружил потенциальную возможность инъекции внешних сущностей XML, возникающую из-за небезопасного использования расширения DOM для PHP.

  • CVE-2014-8089

    Йонас Зандштрём обнаружил возможность выполнения SQL-инъекции при закавычивании значения для расширения sqlsrv вручную с использованием null-байта.

  • CVE-2015-3154

    Филиппо Тессаротто и Maks3w сообщили о потенциальной возможности выполнения CRLF-инъекций в почтовые и HTTP заголовки.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.11.13-1.1+deb7u1.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.12.9+dfsg-2+deb8u1.

В тестируемом выпуске (stretch) эти проблемы будут исправлены в версии 1.12.12+dfsg-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.12.12+dfsg-1.

Рекомендуется обновить пакеты zendframework.