Säkerhetsbulletin från Debian

DSA-3380-1 php5 -- säkerhetsuppdatering

Rapporterat den:
2015-10-27
Berörda paket:
php5
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2015-7803, CVE-2015-7804.
Ytterligare information:

Två sårbarheter har upptäckts i PHP, ett skriptspråk för allmänna ändamål som vanligtvis används för utveckling av webbapplikationer.

  • CVE-2015-7803

    phar-utökningen kunde krascha med en NULL-pekardereferens vid behandling av tar-arkiv som innehåller länkar som refererar till icke existerande filer. Dett kunde leda till en överbelastning.

  • CVE-2015-7804

    phar-utökningen behandlar inte folderposter som hittas i arkivfiler ordentligt om dom har namnet "/", vilket leder till en överbelastning, och potentiellt utlämnande av information.

Uppdateringen för Debian stable (Jessie) innehåller ytterligare felrättningar från uppströmsversionen 5.6.14 av PHP, så som beskrivs i förändringsloggen uppströms:

Notis till användare av den gamla stabila utgåvan (Wheezy): PHP 5.4 har nått end-of-life den 14:de September 2015. Som ett resultat av detta kommer det inte komma några fel uppströmsutgåvor. Säkerhetsstödet för PHP 5.4 i gamla stabila utgåvan (Wheezy) kommer endast att ske efter bästa förmåga, och du rekommenderas starkt att uppgradera till den senaste stabila utgåvan av Debian (Jessie), som inkluderar PHP 5.6.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 5.4.45-0+deb7u2.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 5.6.14+dfsg-0+deb8u1.

För uttestningsutgåvan (Stretch) och den instabila utgåvan (Sid) har dessa problem rättats i version 5.6.14+dfsg-1.

Vi rekommenderar att ni uppgraderar era php5-paket.