Bulletin d'alerte Debian
DSA-2639-1 php5 -- Plusieurs vulnérabilités
- Date du rapport :
- 5 mars 2013
- Paquets concernés :
- php5
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 702221.
Dans le dictionnaire CVE du Mitre : CVE-2013-1635, CVE-2013-1643. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans PHP, le langage de script web. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2013-1635
Si une application PHP acceptait une entrée à distance d'objet SOAP non fiable, un attaquant pourrait lire les fichiers du système lisibles par le serveur web.
- CVE-2013-1643
La fonction soap.wsdl_cache_dir ne prenait pas en compte les restrictions open_basedir de PHP. Remarquez que Debian déconseille de dépendre des restrictions open_basedir pour la sécurité.
Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 5.3.3-7+squeeze15.
Pour la distribution testing (Wheezy), ces problèmes seront corrigés prochainement.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 5.4.4-14.
Nous vous recommandons de mettre à jour vos paquets php5.
- CVE-2013-1635