Bulletin d'alerte Debian

DLA-2708-1 php7.0 -- Mise à jour de sécurité pour LTS

Date du rapport :
15 juillet 2021
Paquets concernés :
php7.0
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 942830, Bogue 990575.
Dans le dictionnaire CVE du Mitre : CVE-2019-18218, CVE-2020-7071, CVE-2021-21702, CVE-2021-21704, CVE-2021-21705.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans php5, un langage de script embarqué dans du HTML et côté serveur. Un attaquant pourrait causer un déni de service (DoS), une corruption de mémoire et, éventuellement, une exécution de code arbitraire, et une contrefaçon de requête coté serveur (SSRF).

  • CVE-2019-18218

    fileinfo : cdf_read_property_info dans cdf.c ne limite pas le nombre d’éléments CDF_VECTOR. Cela permet un dépassement de tampon de tas (écriture hors limites de quatre octets).

  • CVE-2020-7071

    Lors de la validation d’URL avec des fonctions telles que filter_var($url, FILTER_VALIDATE_URL), PHP accepte un localisateur avec un mot de passe non valable comme URL valable. Cela peut conduire à des fonctions qui reposent sur un URL valable à mal analyser un URL et produire des données fausses comme composants de l’URL.

  • CVE-2021-21702

    Lors de l’utilisation d’extension SOAP pour une connexion à un serveur SOAP, un serveur SOAP malveillant pourrait renvoyer des données XML mal formées comme réponse qui pourrait faire que PHP accède à un pointeur NULL et par conséquent provoque un plantage.

  • CVE-2021-21704

    Plusieurs problèmes firebird.

  • CVE-2021-21705

    Contournement SSRF dans FILTER_VALIDATE_URL.

Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans la version 7.0.33-0+deb9u11.

Nous vous recommandons de mettre à jour vos paquets php7.0.

Pour disposer d'un état détaillé sur la sécurité de php7.0, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/php7.0.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.