Säkerhetsbulletin från Debian

DSA-2639-1 php5 -- flera sårbarheter

Rapporterat den:
2013-03-05
Berörda paket:
php5
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 702221.
I Mitres CVE-förteckning: CVE-2013-1635, CVE-2013-1643.
Ytterligare information:

Flera sårbarheter har upptäckts i have PHP, webbskriptspråket. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2013-1635

    Om en PHP-applikation accepterar opålitliga SOAP-objektindata från fjärrklienter, kunde en angripare läsa systemfiler som är läsbara för webbservern.

  • CVE-2013-1643

    Funktionen soap.wsdl_cache_dir tog inte hänsyn till PHP-open_basedir-restriktioner. Notera att Debian avråder från att förlita sig på open_basedir-restriktioner som säkerhetsåtgärd.

För den stabila utgåvan (squeeze) har dessa problem rättats i version 5.3.3-7+squeeze15.

För uttestningsutgåvan (wheezy) kommer dessa problem att rättas inom kort.

För den instabila utgåvan (Sid) har dessa problem rättats i version 5.4.4-14.

Vi rekommenderar att ni uppgraderar era php5-paket.