Debians sikkerhedsbulletin

DSA-3340-1 zendframework -- sikkerhedsopdatering

Rapporteret den:
19. aug 2015
Berørte pakker:
zendframework
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-5161.
Yderligere oplysninger:

Dawid Golunski opdagede at når der blev afviklet under PHP-FPM i et trådmiljø, håndterede Zend Framework, et PHP-framework, ikke på korrekt vis XML-data med multibytekoding. Det kunne anvendes af fjernangribere til at udføre et XML External Entity-angreb gennem fabrikerede XML-data.

I den gamle stabile distribution (wheezy), er dette problem rettet i version 1.11.13-1.1+deb7u3.

I den stabile distribution (jessie), er dette problem rettet i version 1.12.9+dfsg-2+deb8u3.

I distributionen testing (stretch), er dette problem rettet i version 1.12.14+dfsg-1.

I den ustabile distribution (sid), er dette problem rettet i version 1.12.14+dfsg-1.

Vi anbefaler at du opgraderer dine zendframework-pakker.