Säkerhetsbulletin från Debian

DSA-3340-1 zendframework -- säkerhetsuppdatering

Rapporterat den:
2015-08-19
Berörda paket:
zendframework
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2015-5161.
Ytterligare information:

Dawid Golunski upptäckte att när man kör under PHP-FPM i en trådad miljö hanterar inte Zend Framework, ett PHP-ramverk, multibytekodad XML-data. Detta kunde användas av fjärrangripare för att utföra ett XML Extern enhets-angrepp via skapad XML-data.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 1.11.13-1.1+deb7u3.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1.12.9+dfsg-2+deb8u3.

För uttestningsutgåvan (Stretch) har detta problem rättats i version 1.12.14+dfsg-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.12.14+dfsg-1.

Vi rekommenderar att ni uppgraderar era zendframework-paket.