Debians sikkerhedsbulletin
DSA-2408-1 php5 -- flere sårbarheder
- Rapporteret den:
- 13. feb 2012
- Berørte pakker:
- php5
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2011-1072, CVE-2011-4153, CVE-2012-0781, CVE-2012-0788, CVE-2012-0831, CVE-2010-4697, CVE-2011-1092, CVE-2011-1148, CVE-2011-1464, CVE-2011-1467, CVE-2011-1468, CVE-2011-1469, CVE-2011-1470, CVE-2011-1657, CVE-2011-3182, CVE-2011-3267.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i webskriptsproget PHP. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2011-1072
Man opdagede, at usikker håndtering af midlertidige filer i PEAR-installer'en kunne føre til lammelsesangreb (denial of service).
- CVE-2011-4153
Maksymilian Arciemowicz opdagede, at en NULL-pointerdereference i funktionen zend_strndup() kunne føre til lammelsesangreb.
- CVE-2012-0781
Maksymilian Arciemowicz opdagede, at en NULL-pointerdereference i funktionen tidy_diagnose() kunne føre til lammelsesangreb.
- CVE-2012-0788
Man opdagede, at manglende kontroller i håndteringen af PDORow-objekter kunne føre til lammelsesangreb.
- CVE-2012-0831
Man opdagede, at indstillingen magic_quotes_gpc kunne fjern-deaktiveres.
Denne opdatering løser også PHP-fejl, der ikke behandles som sikkerhedsproblemer i Debian (se README.Debian.security), men som ikke desto mindre blev løst: CVE-2010-4697, CVE-2011-1092, CVE-2011-1148, CVE-2011-1464, CVE-2011-1467, CVE-2011-1468, CVE-2011-1469, CVE-2011-1470, CVE-2011-1657, CVE-2011-3182, CVE-2011-3267
I den stabile distribution (squeeze), er dette problem rettet i version 5.3.3-7+squeeze8.
I den ustabile distribution (sid), er dette problem rettet i version 5.3.10-1.
Vi anbefaler at du opgraderer dine php5-pakker.
- CVE-2011-1072