Säkerhetsbulletin från Debian
DSA-2408-1 php5 -- flera sårbarheter
- Rapporterat den:
- 2012-02-13
- Berörda paket:
- php5
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2011-1072, CVE-2011-4153, CVE-2012-0781, CVE-2012-0788, CVE-2012-0831, CVE-2010-4697, CVE-2011-1092, CVE-2011-1148, CVE-2011-1464, CVE-2011-1467, CVE-2011-1468, CVE-2011-1469, CVE-2011-1470, CVE-2011-1657, CVE-2011-3182, CVE-2011-3267.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i PHP, webbscriptspråket. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2011-1072
Man har upptäckt att osäker hantering av temporära filer i PEAR-installeraren kan leda till överbelastning.
- CVE-2011-4153
Maksymilian Arciemowicz upptäckte att en NULL-pekardereferens i funktionen zend_strndup() kunde leda till överbelastning.
- CVE-2012-0781
Maksymilian Arciemowicz upptäckte att en NULL-pekardereferens i funktionen tidy_diagnose() kunde leda till överbelastning.
- CVE-2012-0788
Man har upptäckt att bristande kontroller i hanteringen av PDORow-objekt kunde leda till överbelastning.
- CVE-2012-0831
Man har upptäckt att inställningen magic_quotes_gpc kunde deaktiveras på distans.
Denna uppdatering adresserar även PHP-fel, som inte behandlas som säkerhetsproblem i Debian (se README.DEbian.security), men som rättades hursomhelst: CVE-2010-4697, CVE-2011-1092, CVE-2011-1148, CVE-2011-1464, CVE-2011-1467 CVE-2011-1468, CVE-2011-1469, CVE-2011-1470, CVE-2011-1657, CVE-2011-3182 CVE-2011-3267
För den stabila utgåvan (Squeeze) har detta problem rättats i version 5.3.3-7+squeeze8.
För den instabila utgåvan (Sid) har detta problem rättats i version 5.3.10-1.
Vi rekommenderar att ni uppgraderar era php5-paket.
- CVE-2011-1072