Debian Long Term Support / LTS Security Information / 2014 / セキュリティ情報 -- DLA-67-1 php5

Debian セキュリティ勧告

DLA-67-1 php5 -- LTS セキュリティ更新

報告日時:

2014-09-30

影響を受けるパッケージ:

php5

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2014-3538, CVE-2014-3587, CVE-2014-3597.

詳細:

• CVE-2014-3538

  元々 CVE-2013-7345 で行われた修正が問題に対して十分に対処していなかったことが発見されました。 この修正後も、リモートの攻撃者が awk 正規表現規則の処理中にバックトレースを引き起こすよう特別に細工した入力ファイルによりサービス拒否 (CPU 消費) を引き起こすことが可能でした。

• CVE-2014-3587

  fileinfo モジュールのCDFパーサが Composite Document File (CDF) 形式の異常なファイルを適切に処理していないことが発見されました。 クラッシュにつながります。

• CVE-2014-3597

  元々 CVE-2014-4049 で行われた修正が問題に対して十分に対処していなかったことが発見されました。 悪意のあるサーバや中間の攻撃者が、細工した DNS TXT レコードによりサービス拒否 (クラッシュ) や、潜在的には任意のコードを実行する可能性があります。

• CVE-2014-4670

  PHPが特定の SPL Iterator を誤って処理していることが発見されました。 ローカルの攻撃者がこの欠陥を悪用してPHPのクラッシュを引き起こすことが可能で、 サービス拒否につながります。

Debian 6Squeezeでは、この問題は php5 バージョン 5.3.3-7+squeeze22 で修正されています。