Debian セキュリティ勧告

DSA-531-1 php4 -- 複数の欠陥

報告日時:
2004-07-20
影響を受けるパッケージ:
php4
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2004-0594, CVE-2004-0595.
詳細:

php4 に 2 つの欠陥が発見されました。

  • CAN-2004-0594

    PHP 4.x の 4.3.7 まで、および 5.x の 5.0.0RC3 までの memory_limit 機能において、register_globals が有効化されたような特定の状況下で、zend_hash_init 関数を実行中に memory_limit をアボートさせ、キーのデータ構造体の初期化が終わる前に ハッシュテーブルのデストラクタのポインタを上書きすることで、 リモートの攻撃者が任意のコードを実行する恐れがあります。

  • CAN-2004-0595

    PHP 4.x の 4.3.7 まで、および 5.x の 5.0.0RC3 までの strip_tags 関数において、入力にタグを許可したときにタグ名の中にあるヌル (\0) 文字をフィルタリングしていないために、 ヌル文字を無視してクロスサイトスクリプティング (XSS) 脆弱性を攻撃されやすい Internet Explorer や Safari といったウェブブラウザが、危険なタグを処理してしまいます。

安定版 (stable) ディストリビューション (woody) では、これらの問題はバージョン 4.1.2-7 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバージョン 4:4.3.8-1 で修正されています。

直ちに php4 パッケージをアップグレードすることをお勧めします。

修正:

Debian GNU/Linux 3.0 (woody)

ソース:
http://security.debian.org/pool/updates/main/p/php4/php4_4.1.2-7.dsc
http://security.debian.org/pool/updates/main/p/php4/php4_4.1.2-7.diff.gz
http://security.debian.org/pool/updates/main/p/php4/php4_4.1.2.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/p/php4/php4-dev_4.1.2-7_all.deb
http://security.debian.org/pool/updates/main/p/php4/php4-pear_4.1.2-7_all.deb
Alpha:
http://security.debian.org/pool/updates/main/p/php4/caudium-php4_4.1.2-7_alpha.deb
http://security.debian.org/pool/updates/main/p/php4/php4_4.1.2-7_alpha.deb
http://security.debian.org/pool/updates/main/p/php4/php4-cgi_4.1.2-7_alpha.deb
http://security.debian.org/pool/updates/main/p/php4/php4-curl_4.1.2-7_alpha.deb
http://security.debian.org/pool/updates/main/p/php4/php4-domxml_4.1.2-7_alpha.deb
http://security.debian.org/pool/updates/main/p/php4/php4-gd_4.1.2-7_alpha.deb
http://security.debian.org/pool/updates/main/p/php4/php4-imap_4.1.2-7_alpha.deb
http://security.debian.org/pool/updates/main/p/php4/php4-ldap_4.1.2-7_alpha.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mcal_4.1.2-7_alpha.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mhash_4.1.2-7_alpha.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mysql_4.1.2-7_alpha.deb
http://security.debian.org/pool/updates/main/p/php4/php4-odbc_4.1.2-7_alpha.deb
http://security.debian.org/pool/updates/main/p/php4/php4-recode_4.1.2-7_alpha.deb
http://security.debian.org/pool/updates/main/p/php4/php4-snmp_4.1.2-7_alpha.deb
http://security.debian.org/pool/updates/main/p/php4/php4-sybase_4.1.2-7_alpha.deb
http://security.debian.org/pool/updates/main/p/php4/php4-xslt_4.1.2-7_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/p/php4/caudium-php4_4.1.2-7_arm.deb
http://security.debian.org/pool/updates/main/p/php4/php4_4.1.2-7_arm.deb
http://security.debian.org/pool/updates/main/p/php4/php4-cgi_4.1.2-7_arm.deb
http://security.debian.org/pool/updates/main/p/php4/php4-curl_4.1.2-7_arm.deb
http://security.debian.org/pool/updates/main/p/php4/php4-domxml_4.1.2-7_arm.deb
http://security.debian.org/pool/updates/main/p/php4/php4-gd_4.1.2-7_arm.deb
http://security.debian.org/pool/updates/main/p/php4/php4-imap_4.1.2-7_arm.deb
http://security.debian.org/pool/updates/main/p/php4/php4-ldap_4.1.2-7_arm.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mcal_4.1.2-7_arm.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mhash_4.1.2-7_arm.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mysql_4.1.2-7_arm.deb
http://security.debian.org/pool/updates/main/p/php4/php4-odbc_4.1.2-7_arm.deb
http://security.debian.org/pool/updates/main/p/php4/php4-recode_4.1.2-7_arm.deb
http://security.debian.org/pool/updates/main/p/php4/php4-snmp_4.1.2-7_arm.deb
http://security.debian.org/pool/updates/main/p/php4/php4-sybase_4.1.2-7_arm.deb
http://security.debian.org/pool/updates/main/p/php4/php4-xslt_4.1.2-7_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/p/php4/caudium-php4_4.1.2-7.0.1_i386.deb
http://security.debian.org/pool/updates/main/p/php4/php4_4.1.2-7.0.1_i386.deb
http://security.debian.org/pool/updates/main/p/php4/php4-cgi_4.1.2-7.0.1_i386.deb
http://security.debian.org/pool/updates/main/p/php4/php4-curl_4.1.2-7.0.1_i386.deb
http://security.debian.org/pool/updates/main/p/php4/php4-domxml_4.1.2-7.0.1_i386.deb
http://security.debian.org/pool/updates/main/p/php4/php4-gd_4.1.2-7.0.1_i386.deb
http://security.debian.org/pool/updates/main/p/php4/php4-imap_4.1.2-7.0.1_i386.deb
http://security.debian.org/pool/updates/main/p/php4/php4-ldap_4.1.2-7.0.1_i386.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mcal_4.1.2-7.0.1_i386.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mhash_4.1.2-7.0.1_i386.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mysql_4.1.2-7.0.1_i386.deb
http://security.debian.org/pool/updates/main/p/php4/php4-odbc_4.1.2-7.0.1_i386.deb
http://security.debian.org/pool/updates/main/p/php4/php4-recode_4.1.2-7.0.1_i386.deb
http://security.debian.org/pool/updates/main/p/php4/php4-snmp_4.1.2-7.0.1_i386.deb
http://security.debian.org/pool/updates/main/p/php4/php4-sybase_4.1.2-7.0.1_i386.deb
http://security.debian.org/pool/updates/main/p/php4/php4-xslt_4.1.2-7.0.1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/p/php4/caudium-php4_4.1.2-7_ia64.deb
http://security.debian.org/pool/updates/main/p/php4/php4_4.1.2-7_ia64.deb
http://security.debian.org/pool/updates/main/p/php4/php4-cgi_4.1.2-7_ia64.deb
http://security.debian.org/pool/updates/main/p/php4/php4-curl_4.1.2-7_ia64.deb
http://security.debian.org/pool/updates/main/p/php4/php4-domxml_4.1.2-7_ia64.deb
http://security.debian.org/pool/updates/main/p/php4/php4-gd_4.1.2-7_ia64.deb
http://security.debian.org/pool/updates/main/p/php4/php4-imap_4.1.2-7_ia64.deb
http://security.debian.org/pool/updates/main/p/php4/php4-ldap_4.1.2-7_ia64.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mcal_4.1.2-7_ia64.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mhash_4.1.2-7_ia64.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mysql_4.1.2-7_ia64.deb
http://security.debian.org/pool/updates/main/p/php4/php4-odbc_4.1.2-7_ia64.deb
http://security.debian.org/pool/updates/main/p/php4/php4-recode_4.1.2-7_ia64.deb
http://security.debian.org/pool/updates/main/p/php4/php4-snmp_4.1.2-7_ia64.deb
http://security.debian.org/pool/updates/main/p/php4/php4-sybase_4.1.2-7_ia64.deb
http://security.debian.org/pool/updates/main/p/php4/php4-xslt_4.1.2-7_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/p/php4/caudium-php4_4.1.2-7_hppa.deb
http://security.debian.org/pool/updates/main/p/php4/php4_4.1.2-7_hppa.deb
http://security.debian.org/pool/updates/main/p/php4/php4-cgi_4.1.2-7_hppa.deb
http://security.debian.org/pool/updates/main/p/php4/php4-curl_4.1.2-7_hppa.deb
http://security.debian.org/pool/updates/main/p/php4/php4-domxml_4.1.2-7_hppa.deb
http://security.debian.org/pool/updates/main/p/php4/php4-gd_4.1.2-7_hppa.deb
http://security.debian.org/pool/updates/main/p/php4/php4-imap_4.1.2-7_hppa.deb
http://security.debian.org/pool/updates/main/p/php4/php4-ldap_4.1.2-7_hppa.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mcal_4.1.2-7_hppa.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mhash_4.1.2-7_hppa.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mysql_4.1.2-7_hppa.deb
http://security.debian.org/pool/updates/main/p/php4/php4-odbc_4.1.2-7_hppa.deb
http://security.debian.org/pool/updates/main/p/php4/php4-recode_4.1.2-7_hppa.deb
http://security.debian.org/pool/updates/main/p/php4/php4-snmp_4.1.2-7_hppa.deb
http://security.debian.org/pool/updates/main/p/php4/php4-sybase_4.1.2-7_hppa.deb
http://security.debian.org/pool/updates/main/p/php4/php4-xslt_4.1.2-7_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/p/php4/caudium-php4_4.1.2-7_m68k.deb
http://security.debian.org/pool/updates/main/p/php4/php4_4.1.2-7_m68k.deb
http://security.debian.org/pool/updates/main/p/php4/php4-cgi_4.1.2-7_m68k.deb
http://security.debian.org/pool/updates/main/p/php4/php4-curl_4.1.2-7_m68k.deb
http://security.debian.org/pool/updates/main/p/php4/php4-domxml_4.1.2-7_m68k.deb
http://security.debian.org/pool/updates/main/p/php4/php4-gd_4.1.2-7_m68k.deb
http://security.debian.org/pool/updates/main/p/php4/php4-imap_4.1.2-7_m68k.deb
http://security.debian.org/pool/updates/main/p/php4/php4-ldap_4.1.2-7_m68k.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mcal_4.1.2-7_m68k.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mhash_4.1.2-7_m68k.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mysql_4.1.2-7_m68k.deb
http://security.debian.org/pool/updates/main/p/php4/php4-odbc_4.1.2-7_m68k.deb
http://security.debian.org/pool/updates/main/p/php4/php4-recode_4.1.2-7_m68k.deb
http://security.debian.org/pool/updates/main/p/php4/php4-snmp_4.1.2-7_m68k.deb
http://security.debian.org/pool/updates/main/p/php4/php4-sybase_4.1.2-7_m68k.deb
http://security.debian.org/pool/updates/main/p/php4/php4-xslt_4.1.2-7_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/p/php4/caudium-php4_4.1.2-7_mips.deb
http://security.debian.org/pool/updates/main/p/php4/php4_4.1.2-7_mips.deb
http://security.debian.org/pool/updates/main/p/php4/php4-cgi_4.1.2-7_mips.deb
http://security.debian.org/pool/updates/main/p/php4/php4-curl_4.1.2-7_mips.deb
http://security.debian.org/pool/updates/main/p/php4/php4-domxml_4.1.2-7_mips.deb
http://security.debian.org/pool/updates/main/p/php4/php4-gd_4.1.2-7_mips.deb
http://security.debian.org/pool/updates/main/p/php4/php4-imap_4.1.2-7_mips.deb
http://security.debian.org/pool/updates/main/p/php4/php4-ldap_4.1.2-7_mips.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mcal_4.1.2-7_mips.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mhash_4.1.2-7_mips.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mysql_4.1.2-7_mips.deb
http://security.debian.org/pool/updates/main/p/php4/php4-odbc_4.1.2-7_mips.deb
http://security.debian.org/pool/updates/main/p/php4/php4-recode_4.1.2-7_mips.deb
http://security.debian.org/pool/updates/main/p/php4/php4-snmp_4.1.2-7_mips.deb
http://security.debian.org/pool/updates/main/p/php4/php4-sybase_4.1.2-7_mips.deb
http://security.debian.org/pool/updates/main/p/php4/php4-xslt_4.1.2-7_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/p/php4/caudium-php4_4.1.2-7_mipsel.deb
http://security.debian.org/pool/updates/main/p/php4/php4_4.1.2-7_mipsel.deb
http://security.debian.org/pool/updates/main/p/php4/php4-cgi_4.1.2-7_mipsel.deb
http://security.debian.org/pool/updates/main/p/php4/php4-curl_4.1.2-7_mipsel.deb
http://security.debian.org/pool/updates/main/p/php4/php4-domxml_4.1.2-7_mipsel.deb
http://security.debian.org/pool/updates/main/p/php4/php4-gd_4.1.2-7_mipsel.deb
http://security.debian.org/pool/updates/main/p/php4/php4-imap_4.1.2-7_mipsel.deb
http://security.debian.org/pool/updates/main/p/php4/php4-ldap_4.1.2-7_mipsel.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mcal_4.1.2-7_mipsel.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mhash_4.1.2-7_mipsel.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mysql_4.1.2-7_mipsel.deb
http://security.debian.org/pool/updates/main/p/php4/php4-odbc_4.1.2-7_mipsel.deb
http://security.debian.org/pool/updates/main/p/php4/php4-recode_4.1.2-7_mipsel.deb
http://security.debian.org/pool/updates/main/p/php4/php4-snmp_4.1.2-7_mipsel.deb
http://security.debian.org/pool/updates/main/p/php4/php4-sybase_4.1.2-7_mipsel.deb
http://security.debian.org/pool/updates/main/p/php4/php4-xslt_4.1.2-7_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/p/php4/caudium-php4_4.1.2-7_powerpc.deb
http://security.debian.org/pool/updates/main/p/php4/php4_4.1.2-7_powerpc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-cgi_4.1.2-7_powerpc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-curl_4.1.2-7_powerpc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-domxml_4.1.2-7_powerpc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-gd_4.1.2-7_powerpc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-imap_4.1.2-7_powerpc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-ldap_4.1.2-7_powerpc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mcal_4.1.2-7_powerpc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mhash_4.1.2-7_powerpc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mysql_4.1.2-7_powerpc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-odbc_4.1.2-7_powerpc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-recode_4.1.2-7_powerpc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-snmp_4.1.2-7_powerpc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-sybase_4.1.2-7_powerpc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-xslt_4.1.2-7_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/p/php4/caudium-php4_4.1.2-7_s390.deb
http://security.debian.org/pool/updates/main/p/php4/php4_4.1.2-7_s390.deb
http://security.debian.org/pool/updates/main/p/php4/php4-cgi_4.1.2-7_s390.deb
http://security.debian.org/pool/updates/main/p/php4/php4-curl_4.1.2-7_s390.deb
http://security.debian.org/pool/updates/main/p/php4/php4-domxml_4.1.2-7_s390.deb
http://security.debian.org/pool/updates/main/p/php4/php4-gd_4.1.2-7_s390.deb
http://security.debian.org/pool/updates/main/p/php4/php4-imap_4.1.2-7_s390.deb
http://security.debian.org/pool/updates/main/p/php4/php4-ldap_4.1.2-7_s390.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mcal_4.1.2-7_s390.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mhash_4.1.2-7_s390.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mysql_4.1.2-7_s390.deb
http://security.debian.org/pool/updates/main/p/php4/php4-odbc_4.1.2-7_s390.deb
http://security.debian.org/pool/updates/main/p/php4/php4-recode_4.1.2-7_s390.deb
http://security.debian.org/pool/updates/main/p/php4/php4-snmp_4.1.2-7_s390.deb
http://security.debian.org/pool/updates/main/p/php4/php4-sybase_4.1.2-7_s390.deb
http://security.debian.org/pool/updates/main/p/php4/php4-xslt_4.1.2-7_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/p/php4/caudium-php4_4.1.2-7_sparc.deb
http://security.debian.org/pool/updates/main/p/php4/php4_4.1.2-7_sparc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-cgi_4.1.2-7_sparc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-curl_4.1.2-7_sparc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-domxml_4.1.2-7_sparc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-gd_4.1.2-7_sparc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-imap_4.1.2-7_sparc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-ldap_4.1.2-7_sparc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mcal_4.1.2-7_sparc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mhash_4.1.2-7_sparc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-mysql_4.1.2-7_sparc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-odbc_4.1.2-7_sparc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-recode_4.1.2-7_sparc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-snmp_4.1.2-7_sparc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-sybase_4.1.2-7_sparc.deb
http://security.debian.org/pool/updates/main/p/php4/php4-xslt_4.1.2-7_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。