Bulletin d'alerte Debian

DLA-1970-1 php5 -- Mise à jour de sécurité pour LTS

Date du rapport :
26 octobre 2019
Paquets concernés :
php5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-11043.
Plus de précisions :

Emil Lerner, beched et d90pwn ont trouvé un dépassement de capacité de tampon par le bas dans php5-fpm, un gestionnaire rapide de processus pour le langage PHP, qui peut conduire à une exécution de code à distance.

Les instances sont vulnérables selon la configuration du serveur web, en particulier le traitement de PATH_INFO. Pour la liste entière des préconditions, consultez : https://github.com/neex/phuip-fpizdam

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 5.6.40+dfsg-0+deb8u7.

Nous vous recommandons de mettre à jour vos paquets php5.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.