Bulletin d'alerte Debian

DSA-2408-1 php5 -- Plusieurs vulnérabilités

Date du rapport :

13 février 2012

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-1072, CVE-2011-4153, CVE-2012-0781, CVE-2012-0788, CVE-2012-0831, CVE-2010-4697, CVE-2011-1092, CVE-2011-1148, CVE-2011-1464, CVE-2011-1467, CVE-2011-1468, CVE-2011-1469, CVE-2011-1470, CVE-2011-1657, CVE-2011-3182, CVE-2011-3267.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans PHP, le langage de script web. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

CVE-2011-1072
Un traitement non sécurisé de fichiers temporaires découvert dans l'installateur PEAR pourrait conduire à un déni de service.
CVE-2011-4153
Maksymilian Arciemowicz a découvert qu'un déréférencement de pointeur NULL dans la fonction zend_strndup() pourrait conduire à un déni de service.
CVE-2012-0781
Maksymilian Arciemowicz a découvert qu'un déréférencement de pointeur NULL dans la fonction tidy_diagnose() pourrait conduire à un déni de service.
CVE-2012-0788
Des vérifications manquantes dans le traitement d'objets PDORow pourraient conduire à un déni de service.
CVE-2012-0831
Le réglage magic_quotes_gpc pourrait être désactivé à distance.

Cette mise à jour s'occupe aussi de bogues de PHP, qui ne sont pas vraiment considérés comme des problèmes de sécurité dans Debian (consultez README.Debian.security), mais qui ont été corrigés quand même : CVE-2010-4697, CVE-2011-1092, CVE-2011-1148, CVE-2011-1464, CVE-2011-1467 CVE-2011-1468, CVE-2011-1469, CVE-2011-1470, CVE-2011-1657, CVE-2011-3182 CVE-2011-3267

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 5.3.3-7+squeeze8.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 5.3.10-1.

Nous vous recommandons de mettre à jour vos paquets php5.