Bulletin d'alerte Debian

DLA-2188-1 php5 -- Mise à jour de sécurité pour LTS

Date du rapport :
26 avril 2020
Paquets concernés :
php5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-7064, CVE-2020-7066, CVE-2020-7067.
Plus de précisions :

Trois problèmes ont été découverts dans php5, un langage de script embarqué dans du HTML et côté serveur.

  • CVE-2020-7064

    Une lecture hors limites d’un octet pourrait éventuellement amener une divulgation d'informations ou un plantage.

  • CVE-2020-7066

    Une URL contenant le caractère zero (\0) serait tronquée à cette valeur. Cela pourrait conduire certains logiciels à faire des hypothèses incorrectes et, éventuellement, envoyer des informations au mauvais serveur.

  • CVE-2020-7067

    L’utilisation d’une chaîne encodée sous forme d’URL mal formée pourrait amener à une lecture hors limites.

    Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 5.6.40+dfsg-0+deb8u11.

    Nous vous recommandons de mettre à jour vos paquets php5.

    Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.