Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-3074-1 php5

Säkerhetsbulletin från Debian

DSA-3074-1 php5 -- säkerhetsuppdatering

Rapporterat den:

2014-11-18

Berörda paket:

php5

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 768807.
I Mitres CVE-förteckning: CVE-2014-3710.

Ytterligare information:

Francisco Alonso från Red Hat Product Security hittade ett problem i verktyget file, vars kod är inbäddad i PHP, ett skriptspråk för allmäna ändamål. Vid kontroll av ELF-filer, kontrolleras note-rubriker felaktigt, vilket potentiellt tillåter angripare att utföra en överbelastning (läsning utanför gränserna och applikationskrasch) genom att tillhandahålla en speciellt skapad ELF-fil.

Som tillkännagivet i DSA-3064-1 har det tagits beslut att följa de stabila 5.4.x-utgåvorna för Wheezy's php5-paket. Som en konsekvens av detta adresseras sårbarheten genom att att uppgradera PHP till en ny uppströmsversion 5.4.35, som innehåller ytterligare felrättningar, nya funktioner och möjligen inkompatibla förändringar. Vänligen referera uppströmsförändringsloggen för mer information:

http://php.net/ChangeLog-5.php#5.4.35

För den stabila utgåvan (Wheezy) har detta problem rättats i version 5.4.35-0+deb7u1.

Vi rekommenderar att ni uppgraderar era php5-paket.