LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2014 / Informations sur la sécurité -- DLA-67-1 php5

Bulletin d'alerte Debian

DLA-67-1 php5 -- Mise à jour de sécurité pour LTS

Date du rapport :

30 septembre 2014

Paquets concernés :

php5

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-3538, CVE-2014-3587, CVE-2014-3597.

Plus de précisions :

• CVE-2014-3538

  Le correctif original pour CVE-2013-7345 ne corrige pas suffisamment le problème. Un attaquant distant pourrait encore provoquer un déni de service (consommation de CPU) à l'aide d'un fichier d’entrée contrefait pour l'occasion, déclenchant un retour arrière durant le traitement d’une règle d’expression rationnelle d’awk.

• CVE-2014-3587

  L'analyseur CDF du module fileinfo ne traite pas correctement des fichiers malformés de format CDF (Composite Document File), menant à des plantages.

• CVE-2014-3597

  Le correctif original pour CVE-2014-4049 ne corrige pas suffisamment le problème. Un serveur malveillant ou un attaquant de type « homme du milieu » pourrait provoquer un déni de service (plantage) ou éventuellement exécuter du code arbitraire à l'aide d'un enregistrement DNS TXT contrefait.

• CVE-2014-4670

  PHP gère incorrectement certains itérateurs de SPL. Un attaquant local pourrait utiliser ce défaut pour provoquer un plantage de PHP, conduisant à un déni de service.

Pour Debian 6 Squeeze, ce problème a été corrigé dans la version 5.3.3-7+squeeze22 de php5.