Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2639-1 php5

Säkerhetsbulletin från Debian

DSA-2639-1 php5 -- flera sårbarheter

Rapporterat den:

2013-03-05

Berörda paket:

php5

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 702221.
I Mitres CVE-förteckning: CVE-2013-1635, CVE-2013-1643.

Ytterligare information:

Flera sårbarheter har upptäckts i have PHP, webbskriptspråket. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2013-1635

  Om en PHP-applikation accepterar opålitliga SOAP-objektindata från fjärrklienter, kunde en angripare läsa systemfiler som är läsbara för webbservern.

• CVE-2013-1643

  Funktionen soap.wsdl_cache_dir tog inte hänsyn till PHP-open_basedir-restriktioner. Notera att Debian avråder från att förlita sig på open_basedir-restriktioner som säkerhetsåtgärd.

För den stabila utgåvan (squeeze) har dessa problem rättats i version 5.3.3-7+squeeze15.

För uttestningsutgåvan (wheezy) kommer dessa problem att rättas inom kort.

För den instabila utgåvan (Sid) har dessa problem rättats i version 5.4.4-14.

Vi rekommenderar att ni uppgraderar era php5-paket.