Säkerhetsbulletin från Debian

DSA-3265-1 zendframework -- säkerhetsuppdatering

Rapporterat den:
2015-05-20
Berörda paket:
zendframework
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 743175, Fel 754201.
I Mitres CVE-förteckning: CVE-2014-2681, CVE-2014-2682, CVE-2014-2683, CVE-2014-2684, CVE-2014-2685, CVE-2014-4914, CVE-2014-8088, CVE-2014-8089, CVE-2015-3154.
Ytterligare information:

Flera sårbarheter har upptäckts i Zend Framework, ett PHP-ramverk. Förutom CVE-2015-3154, har all dessa problem redan rättats i versionen som ursprungligen utgavs med Jessie.

  • CVE-2014-2681

    Lukas Reschke rapporterade en brist i skyddet mot XML External Entity injection-angrepp i vissa funktioner. Denna rättelse utökar den ofullständiga från CVE-2012-5657.

  • CVE-2014-2682

    Lukas Reschke rapporterade ett misslyckande att ta hänsyn till att inställningen libxml_disable_entity_loader delas mellan trådar i fallet PHP-FPM. Denna rättelse utökar den ofullständiga från CVE-2012-5657.

  • CVE-2014-2683

    Lukas Reschke rapporterade en brist i skyddet mot XML Entity Expansion-angrepp i vissa funktioner. Denna rättelse utökar den ofullständiga från CVE-2012-6532.

  • CVE-2014-2684

    Christian Mainka och Vladislav Mladenov från Ruhr-universitetet Bochum rapporterade ett fel i consumerns verifieringsmetod som leder till accpterande av felaktigt ansförskaffade tokens.

  • CVE-2014-2685

    Christian Mainka och Vladislav Mladenov från Ruhr-universitetet Bochum rapporterade en kränkning av specifikationen där signering av en enkel parameter felaktigt anses tillräcklig.

  • CVE-2014-4914

    Cassiano Dal Pizzol upptäckte att implementationen av ORDER BY SQL-satsen i Zend_Db_Select innehåller en potentiell SQL-injektion när förfrågesträngen som skickas innehåller paranteser.

  • CVE-2014-8088

    Yury Dyachenko från Positive Research Center identifiereade en potentiell XML eXternal Entity-injicering av vektorer på grund av osäker användning av PHP's DOM-utökning.

  • CVE-2014-8089

    Jonas Sandström upptäckte en SQL-injiceringsvektor vid manuell citering av ett värde för sqlsrv-utökningen, som använder null-byte.

  • CVE-2015-3154

    Filippo Tessarotto och Maks3w rapporterade potentiella CRLF-injiceringsangrepp i e-post och HTTP-rubriker.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1.11.13-1.1+deb7u1.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1.12.9+dfsg-2+deb8u1.

För uttestningsutgåvan (Stretch) kommer dessa problem att fixed i version 1.12.12+dfsg-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.12.12+dfsg-1.

Vi rekommenderar att ni uppgraderar era zendframework-paket.