Рекомендация Debian по безопасности

DSA-3340-1 zendframework -- обновление безопасности

Дата сообщения:
19.08.2015
Затронутые пакеты:
zendframework
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-5161.
Более подробная информация:

Давид Голунски обнаружил, что во время запуска PHP-FPM в нитевом окружении Zend Framework, инфраструктура PHP, неправильно обрабатывает данные в XML формате в многобайтовых кодировках. Эта уязвимость может использоваться удалёнными злоумышленниками для выполнению атаки по принципу внешней сущности XML с помощью специально сформированных данных в формате XML.

В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в версии 1.11.13-1.1+deb7u3.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 1.12.9+dfsg-2+deb8u3.

В тестируемом выпуске (stretch) эта проблема была исправлена в версии 1.12.14+dfsg-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.12.14+dfsg-1.

Рекомендуется обновить пакеты zendframework.