Bulletin d'alerte Debian
DSA-3008-1 php5 -- Mise à jour de sécurité
- Date du rapport :
- 21 août 2014
- Paquets concernés :
- php5
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2014-3538, CVE-2014-3587, CVE-2014-3597, CVE-2014-4670.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans PHP, un langage de script généraliste couramment utilisé pour le développement d'applications web. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2014-3538
La première correction pour CVE-2013-7345 n'a pas règlé le problème de façon suffisante. Un attaquant distant pourrait encore provoquer un déni de service (consommation de CPU) à l'aide d'un fichier d'entrée contrefait pour l'occasion qui déclenche un retour en arrière durant le traitement d'une règle d'expression rationnelle de awk.
- CVE-2014-3587
L'analyseur CDF du module fileinfo ne traite pas correctement des fichiers malformés de format
Composite Document File
, menant à des plantages. - CVE-2014-3597
La première correction pour CVE-2014-4049 n'a pas règlé le problème de façon suffisante. Un serveur malveillant ou un attaquant de type « homme du milieu » pourrait provoquer un déni de service (plantage) et éventuellement exécuter du code arbitraire à l'aide d'un enregistrement TXT de DNS contrefait.
- CVE-2014-4670
PHP ne gère pas proprement certains itérateurs de SPL. Un attaquant local pourrait utiliser ce défaut pour provoquer un plantage de PHP, résultant en un déni de service.
Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 5.4.4-14+deb7u13. En complément, cette mise à jour contient des corrections de bogues prévues à l'origine pour la prochaine version intermédiaire de Wheezy.
Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.
Nous vous recommandons de mettre à jour vos paquets php5.
- CVE-2014-3538