Säkerhetsbulletin från Debian

DSA-3783-1 php5 -- säkerhetsuppdatering

Rapporterat den:
2017-02-08
Berörda paket:
php5
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2016-10158, CVE-2016-10159, CVE-2016-10160, CVE-2016-10161.
Ytterligare information:

Flera problem har upptäckts i PHP, ett öppen källkodsskriptspråk för allmänna ändamål som används i stor utsträckning.

  • CVE-2016-10158

    Laddning av en illasinnad TIFF- eller JPEG-fil kan leda till överbelastningsangrepp när EXIF-huvudet tolkas.

  • CVE-2016-10159

    Laddning av ett illasinnat phar-arkiv kan orsaka en överdriven minnesallokering, vilket leder till överbelastningsangrepp på 32-bitarsdatorer.

  • CVE-2016-10160

    En angripare kan fjärrexekvera godtycklig kod med hjälp av ett illasinnat phar-arkiv. Detta är en konsekvens av en fel-med-ett-minneskorruption.

  • CVE-2016-10161

    En angripare med kontroll av funktionsargumentet unserialize() kan orsaka en läsning utanför gränserna. Detta kunde leda till en överbelastning eller exekvering av fjärrkod.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 5.6.30+dfsg-0+deb8u1.

Vi rekommenderar att ni uppgraderar era php5-paket.