Информация по безопасности / 2013 / Информация о безопасности -- DSA-2639-1 php5

Рекомендация Debian по безопасности

DSA-2639-1 php5 -- несколько уязвимостей

Дата сообщения:

05.03.2013

Затронутые пакеты:

php5

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 702221.
В каталоге Mitre CVE: CVE-2013-1635, CVE-2013-1643.

Более подробная информация:

В PHP, языке написания сценариев для веб, были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2013-1635

  Если приложение PHP удалённо принимает недоверенный ввод SOAP объекта от клиентов, атакующий может прочесть системный файлы, которые открыты для чтения веб-серверу.

• CVE-2013-1643

  Функция soap.wsdl_cache_dir не учитывает ограничения PHP open_basedir. Заметьте, что Debian не рекомендует использовать ограничения open_basedir в целях безопасности.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 5.3.3-7+squeeze15.

В тестируемом выпуске (wheezy) эти проблемы будут исправлены позже.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 5.4.4-14.

Рекомендуется обновить пакеты php5.