Рекомендация Debian по безопасности

DSA-3783-1 php5 -- обновление безопасности

Дата сообщения:
08.02.2017
Затронутые пакеты:
php5
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2016-10158, CVE-2016-10159, CVE-2016-10160, CVE-2016-10161.
Более подробная информация:

В PHP, широко используемом языке сценариев общего назначения с открытым исходным кодом, было обнаружено несколько уязвимостей.

  • CVE-2016-10158

    Загрузка вредоносного файла TIFF или JPEG может приводить к отказу в обслуживании, который возникает при выполнении грамматического разбора EXIF-заголовка.

  • CVE-2016-10159

    Загрузка вредоносного phar-архива может вызывать выделение чрезмерного объёма памяти, что приводит к отказу в обслуживании на 32-битных компьютерах.

  • CVE-2016-10160

    Злоумышленник может выполнить произвольный код, используя вредоносный phar-архив. Эта уязвимость является следствием повреждения содержимого памяти из-за ошибки на единицу.

  • CVE-2016-10161

    Злоумышленник, имеющий контроль над аргументом функции unserialize(), может вызывать чтение за пределами выделенной памяти. Это приводит к отказу в обслуживании или удалённому выполнению кода.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 5.6.30+dfsg-0+deb8u1.

Рекомендуется обновить пакеты php5.