Debians sikkerhedsbulletin

DSA-3380-1 php5 -- sikkerhedsopdatering

Rapporteret den:
27. okt 2015
Berørte pakker:
php5
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-7803, CVE-2015-7804.
Yderligere oplysninger:

To sårbarheder blev fundet i PHP, et generelt anvendeligt skriptsprog, som hyppigt anvendes til udvikling af webapplikationer.

  • CVE-2015-7803

    Udvidelsen phar kunne gå ned med en NULL-pointerdereference, når der blev behandlet tar-arkiver indeholdende links med reference til ikke-eksisterende filer. Det kunne føre til et lammelsesangreb (denial of service).

  • CVE-2015-7804

    Udvidelsen phar behandlende ikke på korrekt vis mappeforekomster fundet i arkivfiler med navnet "/", førende til et lammelsesangreb og potentielt informationsafsløring.

Opdateringen til Debian stable (jessie) indeholder yderligere fejlrettelser fra PHP-opstrømsversion 5.6.14, som beskrevet i opstrøms changelog:

Bemærkning til brugere af den gamle stabile distribution (wheezy): PHP 5.4's livforløb ophørte den 14. september 2015. Som følge deraf kommer der ikke flere opstrømsudgaver. Sikkerhedsunderstøttelsen af PHP 5.4 i Debians gamle stabile distribution (oldstable/wheezy) vil kun blive ydet efter bedste evne, og man opfordres kraftigt til at opgradere til Debians seneste stabile udgave (jessie), som indeholder PHP 5.6.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 5.4.45-0+deb7u2.

I den stabile distribution (jessie), er disse problemer rettet i version 5.6.14+dfsg-0+deb8u1.

I distributionen testing (stretch) og i den ustabile distribution (sid), er disse problemer rettet i version 5.6.14+dfsg-1.

Vi anbefaler at du opgraderer dine php5-pakker.