Bulletin d'alerte Debian

DLA-646-1 zendframework -- Mise à jour de sécurité pour LTS

Date du rapport :
5 octobre 2016
Paquets concernés :
zendframework
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-4861.
Plus de précisions :
  • CVE-2016-4861

    L'implémentation de ORDER BY et GROUP BY dans Zend_Db_Select demeurait prédisposée à une injection SQL lors de l'utilisation d'une combinaison d'expressions SQL et de commentaires. Ce correctif de sécurité fournit une solution complète qui identifie et supprime les commentaires avant de vérifier la validité de l'instruction pour s'assurer qu'il ne survienne pas de vecteur d'injection SQL.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.11.13-1.1+deb7u5.

Nous vous recommandons de mettre à jour vos paquets zendframework.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.