LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2261-1 php5

Bulletin d'alerte Debian

DLA-2261-1 php5 -- Mise à jour de sécurité pour LTS

Date du rapport :

29 juin 2020

Paquets concernés :

php5

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-11048.

Plus de précisions :

Il a été découvert qu’une vulnérabilité dans php5, un langage de script embarqué dans du HTML et côté serveur, pourrait conduire à un épuisement de l’espace disque sur le serveur. La limite mémoire pourrait être atteinte lors de l’utilisation de noms de fichier ou de champ excessivement longs, aboutissant à l’arrêt du téléversement sans nettoyage postérieur.

En outre, la version embarquée de file est vulnérable au CVE-2019-18218. Comme cela ne peut pas être exploité de la même façon dans php5 et dans file, ce problème n’est pas géré dans son propre CVE mais comme un bogue qui est corrigé ici (restriction du nombre d’éléments CDF_VECTOR pour empêcher un dépassement de tampon de tas (écriture hors limites de quatre octets)).

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 5.6.40+dfsg-0+deb8u12.

Nous vous recommandons de mettre à jour vos paquets php5.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.