Debians sikkerhedsbulletin

DSA-3783-1 php5 -- sikkerhedsopdatering

Rapporteret den:
8. feb 2017
Berørte pakker:
php5
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2016-10158, CVE-2016-10159, CVE-2016-10160, CVE-2016-10161.
Yderligere oplysninger:

Flere problemer er opdaget i PHP, et meget anvendt, generelt anvendelige open source-skriptsprog.

  • CVE-2016-10158

    Indlæsning af ondsindede TIFF- eller JPEG-filer kunne føre til et lammelsesangreb (denial of service), når EXIF-headeren blev behandlet.

  • CVE-2016-10159

    Indlæsning af et ondsindet phar-arkiv kunne medføre stor hukommelsesallokering, førende til et lammelsesangreb på 32 bit-computere.

  • CVE-2016-10160

    En angriber kunne fjernudføre vilkårlig kode ved hjælp af et ondsindet phar-arkiv. Det er en konsekvens af en forskudt med én-hukommelseskorruption.

  • CVE-2016-10161

    En angriber med kontrol over funktionsparameteret unserialize() kunne forårsage en læsning uden for grænserne. Det kunne føre til et lammelsesangreb eller fjernudførelse af kode.

I den stabile distribution (jessie), er disse problemer rettet i version 5.6.30+dfsg-0+deb8u1.

Vi anbefaler at du opgraderer dine php5-pakker.