Debian セキュリティ勧告

DSA-2639-1 php5 -- 複数の脆弱性

報告日時:
2013-03-05
影響を受けるパッケージ:
php5
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 702221.
Mitre の CVE 辞書: CVE-2013-1635, CVE-2013-1643.
詳細:

ウェブスクリプティング言語 PHP に複数の欠陥が発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

  • CVE-2013-1635

    PHP アプリケーションが信頼していない SOAP オブジェクトのリモートからのクライアントからの入力を受け入れる場合、 攻撃者がウェブサーバから読み取り可能なシステムファイルを読み取れる可能性があります。

  • CVE-2013-1643

    soap.wsdl_cache_dir 関数が PHP の open_basedir による制限を考慮していません。 Debian は安全のため open_basedir による制限に依存しないことを勧めます。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 5.3.3-7+squeeze15 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題は近く修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 5.4.4-14 で修正されています。

直ちに php5 パッケージをアップグレードすることを勧めます。