Рекомендация Debian по безопасности
DLA-67-1 php5 -- обновление безопасности LTS
- Дата сообщения:
- 30.09.2014
- Затронутые пакеты:
- php5
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2014-3538, CVE-2014-3587, CVE-2014-3597.
- Более подробная информация:
-
- CVE-2014-3538
Было обнаружено, что изначальное исправление для CVE-2013-7345 недостаточно решает указанную проблему. Удалённый злоумышленник всё ещё может вызвать отказ в обслуживании (чрезмерное потребление ресурсов ЦП) с помощью специально сформированного входного файла, вызывающего перебор с возвратом в ходе обработки правила регулярных выражений awk.
- CVE-2014-3587
Было обнаружено, что код для грамматического разбора CDF в модуле fileinfo неправильно обрабатывает некорректные файлы в формате Composite Document File (CDF), что приводит к аварийным остановкам.
- CVE-2014-3597
Было обнаружено, что изначальное исправление для CVE-2014-4049 не полностью решает указанную проблему. Злоумышленник, управляющий сервером или выполняющий атаку по принципу человек-в-середине, может вызывать отказ в обслуживании (аварийная остановка) и возможное выполнение произвольного кода через специально сформированную TXT-запись DNS.
- CVE-2014-4670
Было обнаружено, что PHP неправильно обрабатывает определённые итераторы SPL. Локальный злоумышленник может использовать эту уязвимость для аварийной остановки PHP, что приводит к отказу в обслуживании.
В Debian 6
Squeeze
эти проблемы были исправлены в пакете php5 версии 5.3.3-7+squeeze22 - CVE-2014-3538