LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1674-1 php5

Bulletin d'alerte Debian

DLA-1674-1 php5 -- Mise à jour de sécurité pour LTS

Date du rapport :

12 février 2019

Paquets concernés :

php5

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-1000888.

Plus de précisions :

php-pear dans php5 contient les vulnérabilités CWE-502 (désérialisation de données non fiables) et CWE-915 (modification improprement contrôlée d’attributs d’objet déterminés dynamiquement) dans sa classe Archive_Tar. Lorsque extract est appelé sans un chemin préfixé particulier, cela peut provoquer la désérialisation en contrefaisant un fichier tar avec « phar://[path_vers_fichier_phar_malveillant] » comme path. L’injection d’objet peut être utilisée pour déclencher destruct dans les classes PHP chargées, avec une exécution de code possible à distance conduisant à des suppressions de fichiers ou éventuellement leurs modifications.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 5.6.39+dfsg-0+deb8u2.

Nous vous recommandons de mettre à jour vos paquets php5.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.