Долгосрочная поддержка Debian / Информация о безопасности LTS / 2020 / Информация о безопасности -- DLA-2261-1 php5

Рекомендация Debian по безопасности

DLA-2261-1 php5 -- обновление безопасности LTS

Дата сообщения:

29.06.2020

Затронутые пакеты:

php5

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2019-11048.

Более подробная информация:

Было обнаружено, что уязвимость в php5, серверном языке сценариев со встроенной поддержкой HTML, может приводить к исчерпанию дискового пространства на сервере. При использовании слишком длинных имён файлов или имён полей может сработать ограничение памяти, что приводит к остановке загрузки без последующей очистки.

Кроме того, поставляемая версия утилиты file уязвима к CVE-2019-18218. Поскольку эту уязвимость можно использовать в php5 также, как и в file, данная проблема не имеет собственного идентификатора CVE, а лишь сообщение об ошибке. Эта ошибка была исправлена в данном обновлении (ограничение числа элементов CDF_VECTOR для предотвращения переполнения буфера (4-байтовая запись за пределы выделенного буфера памяти)).

В Debian 8 Jessie эта проблема была исправлена в версии 5.6.40+dfsg-0+deb8u12.

Рекомендуется обновить пакеты php5.

Дополнительную информацию о рекомендациях по безопасности Debian LTS, о том, как применять эти обновления к вашей системе, а также ответы на часто задаваемые вопросы можно найти по адресу: https://wiki.debian.org/LTS