Säkerhetsbulletin från Debian

DSA-3008-1 php5 -- säkerhetsuppdatering

Rapporterat den:

2014-08-21

Berörda paket:

php5

Sårbara:

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-3538, CVE-2014-3587, CVE-2014-3597, CVE-2014-4670.

Ytterligare information:

Flera sårbarheter har upptäckts i PHP, ett skriptspråk för allmänna ändamål som vanligtvis används för utveckling av webbapplikationer. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

CVE-2014-3538
Man har upptäckt att den ursprungliga rättelsen för CVE-2013-7345 inte tillräckligt åtgärdar problemet. En fjärrangripare kunde fortfarande orsaka en överbelastning (CPU-konsumering) via en speciellt skapad input-fil som triggar backåtspårning under behandling av en reguljär awk-uttrycksregel.
CVE-2014-3587
Man har upptäckt att CDF-tolken i fileinfo-modulen inte behandlar felaktigt formaterade filer ordentligt i Composite Document File (CDF)-formatet, vilket kan leda till krascher.
CVE-2014-3597
Man har upptäckt att den ursprungliga rättelsen för CVE-2014-4049 inte tillräckligt åtgärdar problemet. En illasinnad server eller man-in-the-middle-angripare kunde orsaka en överbelastning (krasch) och möjligen köra illasinnad kod via en skapad DNS TXT-post.
CVE-2014-4670
Man har upptäckt att PHP felaktigt behandlar vissa SPL-iteratorer. En lokal angripare kunde använda denna brist för att orsaka PHP att krascha, vilket resulterar i en överbelastning.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 5.4.4-14+deb7u13. Utöver detta så innehåller denna uppdatering flera felrättningar som ursprungligen var tänkta för den kommande punktutgåvan av Wheezy.

För den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era php5-paket.