Bulletin d'alerte Debian

DLA-749-1 php5 -- Mise à jour de sécurité pour LTS

Date du rapport :
16 décembre 2016
Paquets concernés :
php5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-5385, CVE-2016-7124, CVE-2016-7128, CVE-2016-7129, CVE-2016-7130, CVE-2016-7131, CVE-2016-7132, CVE-2016-7411, CVE-2016-7412, CVE-2016-7413, CVE-2016-7414, CVE-2016-7416, CVE-2016-7417, CVE-2016-7418.
Plus de précisions :
  • CVE-2016-5385

    PHP jusqu'à la version 7.0.8 ne tente pas de traiter les conflits d'espace de noms de la section 4.1.18 de la RFC 3875 et donc ne protège pas les applications contre la présence de données de client non fiables dans la variable d’environnement HTTP_PROXY. Cela pourrait permettre à des attaquants distants de rediriger le trafic HTTP sortant d'une application vers un serveur mandataire arbitraire à l’aide d’un en-tête contrefait de mandataire dans une requête HTTP, comme démontré (1) par une application qui fait un appel getenv(HTTP_PROXY) ou (2) par une configuration CGI de PHP, c'est-à-dire un problème httpoxy.

  • CVE-2016-7124

    ext/standard/var_unserializer.c dans PHP avant 5.6.25 et 7.x avant 7.0.10 ne gère pas correctement certains objets non valables. Cela permet à des attaquants distants de provoquer un déni de service ou éventuellement d'avoir un autre impact non précisé à l'aide de données sérialisées contrefaites qui mènent à un appel (1) __destruct ou de la (2) de la méthode magic.

  • CVE-2016-7128

    La fonction exif_process_IFD_in_TIFF dans ext/exif/exif.c dans PHP avant 5.6.25 et 7.x avant 7.0.10 ne gère pas correctement le cas de l'emplacement d'une miniature qui dépasse la taille du fichier. Cela permet à des attaquants distants d'obtenir des informations sensibles de la mémoire du processus à l'aide d'une image TIFF contrefaite.

  • CVE-2016-7129

    La fonction php_wddx_process_data dans ext/wddx/wddx.c dans PHP avant 5.6.25 et 7 avant 7.0.10 permet à des attaquants distants de provoquer un déni de service (erreur de segmentation) ou éventuellement d'avoir un autre impact non précisé à l'aide d'une valeur de temps ISO 8601 non valable, comme démontré par un appel wddx_deserialize qui ne gère pas correctement un élément dateTime dans un document XML de wddxPacket.

  • CVE-2016-7130

    La fonction php_wddx_pop_element dans ext/wddx/wddx.c dans PHP avant 5.6.25 et 7 avant 7.0.10 permet à des attaquants distants de provoquer un déni de service (déréférencement de pointeur NULL et plantage de l'application) ou éventuellement d'avoir un autre impact non précisé à l'aide d'une valeur binaire base64 non valable, comme démontré par un appel wddx_deserialize qui ne gère pas correctement un élément binaire dans un document XML de wddxPacket.

  • CVE-2016-7131

    ext/wddx/wddx.c dans PHP avant 5.6.25 et 7 avant 7.0.10 permet à des attaquants distants de provoquer un déni de service (déréférencement de pointeur NULL et plantage de l'application) ou éventuellement d'avoir un autre impact non précisé à l'aide d'un document XML mal formé de wddxPacket qui n'est pas géré correctement dans un appel wddx_deserialize, comme démontré par une étiquette à laquelle manque un caractère < (inférieur à).

  • CVE-2016-7132

    ext/wddx/wddx.c dans PHP avant 5.6.25 et 7 avant 7.0.10 permet à des attaquants distants de provoquer un déni de service (déréférencement de pointeur NULL et plantage de l'application) ou éventuellement d'avoir un autre impact non précisé à l'aide d'un document XML de wddxPacket non valable qui n'est pas géré correctement dans un appel wddx_deserialize, comme démontré par un élément égaré à l'intérieur d'un élément booléen, menant à un traitement pop incorrect.

  • CVE-2016-7411

    ext/standard/var_unserializer.re dans PHP avant 5.6.26 ne gère pas correctement des échecs de désérialisation d'objet. Cela permet à des attaquants distants de provoquer un déni de service (corruption de mémoire) ou éventuellement d'avoir un autre impact non précisé à l'aide d'un appel unserialize qui fait référence à un objet partiellement construit.

  • CVE-2016-7412

    ext/mysqlnd/mysqlnd_wireprotocol.c dans PHP avant 5.6.26 et 7 avant 7.0.11 ne vérifie pas si un champ BIT a l'indicateur UNSIGNED_FLAG. Cela permet à des serveurs MySQL distants de provoquer un déni de service (dépassement de tas) ou éventuellement d'avoir un autre impact non précisé à l'aide de métadonnées de champ contrefaites.

  • CVE-2016-7413

    Une vulnérabilité d'utilisation de mémoire après libération dans la fonction wddx_stack_destroy dans ext/wddx/wddx.c dans PHP avant 5.6.26 et 7 avant 7.0.11 permet à des attaquants distants de provoquer un déni de service ou éventuellement d'avoir un autre impact non précisé à l'aide d'un document XML de wddxPacket auquel manque une étiquette terminale pour un élément d'un champ recordset, menant au traitement incorrect dans un appel wddx_deserialize.

  • CVE-2016-7414

    La fonction signature-vérification de ZIP dans PHP avant 5.6.26 et 7 avant 7.0.11 ne s'assure pas que le champ uncompressed_filesize est suffisamment grand. Cela permet à des attaquants distants de provoquer un déni de service (accès mémoire hors limites) ou éventuellement d'avoir un autre impact non précisé à l'aide d'une archive PHAR contrefaite, problème lié à ext/phar/util.c et ext/phar/zip.c.

  • CVE-2016-7416

    ext/intl/msgformat/msgformat_format.c dans PHP avant 5.6.26 et 7 avant 7.0.11 ne restreint pas correctement la longueur de locale fournie dans la classe Locale dans la bibliothèque ICU. Cela permet à des attaquants distants de provoquer un déni de service (plantage de l'application) ou éventuellement d'avoir un autre impact non précisé à l'aide d'un appel MessageFormatter::formatMessage avec un premier argument trop long.

  • CVE-2016-7417

    ext/spl/spl_array.c dans PHP avant 5.6.26 et 7 avant 7.0.11 procède à une désérialisation de SplArray sans valider une valeur de retour et un type de données. Cela permet à des attaquants distants de provoquer un déni de service ou éventuellement d'avoir un autre impact non précisé à l'aide de données sérialisées contrefaites.

  • CVE-2016-7418

    La fonction php_wddx_push_element dans ext/wddx/wddx.c dans PHP avant 5.6.26 et 7 avant 7.0.11 permet à des attaquants distants de provoquer un déni de service (accès à un pointeur non valable et lecture hors limites) ou éventuellement d'avoir un autre impact non précisé à l'aide d'un élément booléen incorrect dans un document XML de wddxPacket, menant au traitement incorrect dans un appel wddx_deserialize.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 5.4.45-0+deb7u6.

Nous vous recommandons de mettre à jour vos paquets php5.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.