Информация по безопасности / 2014 / Информация о безопасности -- DSA-3074-1 php5

Рекомендация Debian по безопасности

DSA-3074-1 php5 -- обновление безопасности

Дата сообщения:

18.11.2014

Затронутые пакеты:

php5

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 768807.
В каталоге Mitre CVE: CVE-2014-3710.

Более подробная информация:

Франсиско Алонзо из Red Hat Product Security обнаружил проблему в утилите file, код которой встроен в PHP, язык сценариев общего назначения. При проверке ELF-файлов, заголовки с примечаниями проверяются некорректно, что потенциально позволяет злоумышленникам вызывать отказ в обслуживании (чтение за пределами выделенной памяти и аварийное завершение работы приложения) путём передачи специально сформированного ELF-файла.

Как сообщалось в DSA-3064-1, для пакетов php5 из Wheezy было решено следовать выпускам стабильной ветки 5.4.x. Следовательно, данная уязвимость решена путём обновления PHP до новой версии 5.4.35 из основной ветки разработки, что включает в себя дополнительные исправления ошибок, новые возможности и изменения, которые могут оказаться несовместимыми с предыдущими версиями. За дополнительной информацией обращайтесь у журналу изменения из основной ветки разработки:

http://php.net/ChangeLog-5.php#5.4.35

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 5.4.35-0+deb7u1.

Рекомендуется обновить пакеты php5.