Debians sikkerhedsbulletin

DSA-3344-1 php5 -- sikkerhedsopdatering

Rapporteret den:
27. aug 2015
Berørte pakker:
php5
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-4598, CVE-2015-4643, CVE-2015-4644, CVE-2015-5589, CVE-2015-5590, CVE-2015-6831, CVE-2015-6832, CVE-2015-6833.
Yderligere oplysninger:

Adskillige sårbarheder er fundet i programmeringssproget PHP:

  • CVE-2015-4598

    thoger at redhat dot com opdagede at stier indeholdende et NUL-tegn blev håndteret forkert, hvilket gjorde det muligt for en angriber at tilgå uventede filer på serveren.

  • CVE-2015-4643

    Max Spelsberg opdagede en heltalsoverløbsfejl førende til et heapbaseret bufferoverløb i PHP's FTP-udvidelse, når lister fra FTP-svar blev behandlet. Det kunne føre til et nedbrud eller udførelse af vilkårlig kode.

  • CVE-2015-4644

    Et lammelsesangreb (denial of service) gennem et nedbrud kunne forårsages af en segfault i funktionen php_pgsql_meta_data.

  • CVE-2015-5589

    kwrnel at hotmail dot com opdagede at PHP kunne gå ned når der blev behandlet en ugyldig phar-fil, dermed førende til et lammelsesangreb.

  • CVE-2015-5590

    jared at enhancesoft dot com opdagede et bufferoverløb i funktionen phar_fix_filepath, som kunne forårsage et nedbrud eller udførelse af vilkårlig kode.

  • Desuden blev flere andre sårbarheder rettet:

    sean dot heelan at gmail dot com opdagede et problem i afserialiseringen af nogle enheder, hvilket kunne føre til udførelse af vilkårlig kode.

    stewie at mail dot ru opdagede at phar-udvidelsen på ukorrekt vis håndterede zip-arkiver med relative stier, hvilket gjorde det muligt for en angriber at overskriver filer uden for destinationsmappen.

    taoguangchen at icloud dot com opdagede flere sårbarheder i forbindelse med anvendelse efter frigivelse, der kunne føre til udførelse af vilkårlig kode.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 5.4.44-0+deb7u1.

I den stabile distribution (jessie), er disse problemer rettet i version 5.6.12+dfsg-0+deb8u1.

I den ustabile distribution (sid), er disse problemer rettet i version 5.6.12+dfsg-1.

Vi anbefaler at du opgraderer dine php5-pakker.