Debian セキュリティ勧告

DSA-3008-1 php5 -- セキュリティ更新

報告日時:

2014-08-21

影響を受けるパッケージ:

php5

危険性:

あり

参考セキュリティデータベース:

詳細:

複数の脆弱性が、ウェブアプリケーション開発用に広く利用されている多目的スクリプティング言語である PHP に見つかりました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

CVE-2014-3538
元々 CVE-2013-7345 で行われた修正が問題に対して十分に対処していなかったことが発見されました。この修正後も、リモートの攻撃者が awk 正規表現規則の処理中にバックトレースを引き起こすよう特別に細工した入力ファイルによりサービス拒否 (CPU 消費) を引き起こすことが可能でした。
CVE-2014-3587
fileinfo モジュールのCDFパーサが Composite Document File (CDF) 形式の異常なファイルを適切に処理していないことが発見されました。クラッシュにつながります。
CVE-2014-3597
元々 CVE-2014-4049 で行われた修正が問題に対して十分に対処していなかったことが発見されました。悪意のあるサーバや中間の攻撃者が、細工した DNS TXT レコードによりサービス拒否 (クラッシュ) や、潜在的には任意のコードを実行する可能性があります。
CVE-2014-4670
PHPが特定の SPL Iterator を誤って処理していることが発見されました。ローカルの攻撃者がこの欠陥を悪用してPHPのクラッシュを引き起こすことが可能で、サービス拒否につながります。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 5.4.4-14+deb7u13 で修正されています。さらに、この更新では元々次の Wheezy ポイントリリース向けに予定していた複数のバグ修正を収録しています。

不安定版 (unstable) ディストリビューション (sid) ではこの問題は近く修正予定です。

直ちに php5 パッケージをアップグレードすることを勧めます。