Säkerhetsbulletin från Debian
DSA-2403-2 php5 -- code injection
- Rapporterat den:
- 2012-02-06
- Berörda paket:
- php5
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2012-0830.
- Ytterligare information:
-
Stefan Esser upptäckte att implementationen av konfigurationsvariabeln max_input_vars i en säkerhetsuppdatering av PHP nyligen hade brister så att den tillåter fjärrangripare att krascha PHP eller potentiellt exekvera kod.
För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 5.2.6.dfsg.1-1+lenny16.
För den stabila utgåvan (Squeeze) har detta problem rättats i version 5.3.3-7+squeeze7.
För den instabila utgåvan (Sid) har detta problem rättats i version 5.3.10-1.
Vi rekommenderar att ni uppgraderar era php5-paket.