Bulletin d'alerte Debian
DSA-3117-1 php5 -- Mise à jour de sécurité
- Date du rapport :
- 31 décembre 2014
- Paquets concernés :
- php5
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2014-8142.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans PHP, un langage de script généraliste couramment utilisé pour le développement d'applications web.
Comme cela a été annoncé dans DSA 3064-1, il a été décidé de suivre les versions stables 5.4.x pour les paquets php5 de Wheezy. En conséquence, les vulnérabilités sont réglées en mettant à niveau PHP vers une nouvelle version amont 5.4.36, qui contient des corrections de bogue supplémentaires, de nouvelles fonctionnalités et éventuellement des modifications incompatibles. Veuillez vous référer à la liste de changements de l'amont pour plus d'informations :
http://php.net/ChangeLog-5.php#5.4.36
Deux correctifs supplémentaires ont été appliqués à la nouvelle version amont importée. Un défaut de lecture hors limites, qui pourrait faire planter php5-cgi, a été corrigé. En outre, un bogue de php5-pgsql en combinaison avec PostgreSQL 9.1 a été corrigé(bogue Debian n° 773182).
Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 5.4.36-0+deb7u1.
Nous vous recommandons de mettre à jour vos paquets php5.