セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2492-1 php5

Debian セキュリティ勧告

DSA-2492-1 php5 -- バッファオーバフロー

報告日時:

2012-06-10

影響を受けるパッケージ:

php5

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-2386.

詳細:

PHP の Phar 機能拡張が細工された tar 形式のファイルを正しく扱えず、ヒ ープベースのバッファオーバフローに繋がることが発見されました。tar フ ァイルを扱う PHP アプリケーションは、クラッシュや、さらに潜在的に任意 のコードの実行を行う可能性があります。

さらに、以前の修正のエンバグである、__get から $this として返されたグ ローバルオブジェクトアクセスの際にクラッシュするという欠陥も修正して ます。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 5.3.3-7+squeeze13 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューションで は、この問題はバージョン 5.4.4~rc1-1 で修正されています。

直ぐに php5 パッケージをアップグレードすることを勧めます。