Рекомендация Debian по безопасности

DSA-3344-1 php5 -- обновление безопасности

Дата сообщения:
27.08.2015
Затронутые пакеты:
php5
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-4598, CVE-2015-4643, CVE-2015-4644, CVE-2015-5589, CVE-2015-5590, CVE-2015-6831, CVE-2015-6832, CVE-2015-6833.
Более подробная информация:

В языке PHP были обнаружены многочисленные уязвимости:

  • CVE-2015-4598

    thoger на redhat точка com обнаружил, что пути, содержащие символ NUL, обрабатываются неправильно, позволяя злоумышленнику изменять файлы на сервере.

  • CVE-2015-4643

    Макс Шпелсберг обнаружил переполнение целых чисел, приводящее к переполнению динамической памяти в расширении FTP для PHP, которое возникает при выполнении грамматического разбора распечаток в ответах сервера FTP. Эта проблема может приводить к аварийному завершению работы или выполнению произвольного кода.

  • CVE-2015-4644

    Ошибка сегментирования в функции php_pgsql_meta_data может приводить к аварийному завершению работы и отказу в обслуживании.

  • CVE-2015-5589

    kwrnel на hotmail точка com обнаружил, что PHP может аварийно завершить свою работу при обработке некорректного файла phar, что приводит к отказу в обслуживании.

  • CVE-2015-5590

    jared на enhancesoft точка com обнаружил переполнение буфера в функции phar_fix_filepath, которое может вызывать аварийное завершение работы или выполнение произвольного кода.

  • Кроме того, были исправлены некоторые другие уязвимости:

    sean точка heelan на gmail точка com обнаружил проблему в десериализации некоторых элементов, что может приводить к выполнению произвольного кода.

    stewie на mail точка ru обнаружил, что расширение phar неправильно обрабатывает архивы zip с относительными путями, что может позволить злоумышленнику перезаписать файлы за пределами целевого каталога.

    taoguangchen на icloud точка com обнаружил несколько использований указателей после освобождения памяти, которые могут приводить к выполнению произвольного кода.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 5.4.44-0+deb7u1.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 5.6.12+dfsg-0+deb8u1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 5.6.12+dfsg-1.

Рекомендуется обновить пакеты php5.