Bulletin d'alerte Debian

DLA-1741-1 php5 -- Mise à jour de sécurité pour LTS

Date du rapport :
31 mars 2019
Paquets concernés :
php5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-9022, CVE-2019-9637, CVE-2019-9638, CVE-2019-9639, CVE-2019-9640, CVE-2019-9641.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans php5, un langage de script embarqué dans du HTML et côté serveur.

  • CVE-2019-9637

    rename() à travers le périphérique peut permettre un accès non désiré lors du traitement.

  • CVE-2019-9638, CVE-2019-9639

    Lecture non initialisée dans exif_process_IFD_in_MAKERNOTE.

  • CVE-2019-9640

    Lecture non valable dans exif_process_SOFn.

  • CVE-2019-9641

    Lecture non valable dans exif_process_IFD_in_TIFF.

  • CVE-2019-9022

    Un problème lors de l’analyse de réponses DNS permet à un serveur de DNS hostile d’abuser de memcpy, ce qui conduit à une opération de lecture après un tampon alloué.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 5.6.40+dfsg-0+deb8u2.

Nous vous recommandons de mettre à jour vos paquets php5.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.