Debians sikkerhedsbulletin

DSA-3008-1 php5 -- sikkerhedsopdatering

Rapporteret den:

21. aug 2014

Berørte pakker:

php5

Sårbar:

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2014-3538, CVE-2014-3587, CVE-2014-3597, CVE-2014-4670.

Yderligere oplysninger:

Flere sårbarheder blev fundet i PHP, et skriptsprog til generel anvendelse, som almindeligvis anvendes til webapplikationsudvikling. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

CVE-2014-3538
Man opdagede at den oprindelse rettelse af CVE-2013-7345 ikke på tilstrækkelig vis løste problemet. En fjernangriber kunne stadig forårsge et lammelsesangreb (CPU-forbrug) via en særligt fremstillet inddatafil, som udløser backtracking under behandlingen af en et regulært udtræk i AWK.
CVE-2014-3587
Man opdagede at CDF-fortolkeren i modulet fileinfo, ikke på korrekt vis behandlede misdannede filer i formatet Composite Document File (CDF), førende til nedbrud.
CVE-2014-3597
Man opdagede at den oprindelige retttelse af CVE-2014-4049 ikke fuldstændig løste problemet. En ondsindet server eller manden i midten-angriber, kunne forårsage et lammelsesangreb (nedbrud) samt potentielt udføre vilkårlig kode via en fabrikeret DNS-TXT-record.
CVE-2014-4670
Man opdagede at PHP på ukorrekt vis håndterede vis SPL Iterators. En lokal angriber kunne udnytte fejlen til at få PHP til at gå ned, medførende et lammelsesangreb (denial of service).

I den stabile distribution (wheezy), er disse problemer rettet i version 5.4.4-14+deb7u13. Desuden indeholder opdateringen flere fejlrettelser, som oprindelig var planlagt til den kommune punktopdatering af Wheezy.

I den ustabile distribution (sid), vil disse problemer snart blive rettet.

Vi anbefaler at du opgraderer dine php5-pakker.