Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3195-1 php5

Bulletin d'alerte Debian

DSA-3195-1 php5 -- Mise à jour de sécurité

Date du rapport :

18 mars 2015

Paquets concernés :

php5

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-9705, CVE-2015-0231, CVE-2015-0232, CVE-2015-0273, CVE-2015-2305.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le langage PHP :

• CVE-2015-2305

  Guido Vranken a découvert un dépassement de zone de mémoire du système dans l'extension ereg (ne s'applique qu'aux systèmes 32 bits).

• CVE-2014-9705

  Dépassement de tampon dans l'extension enchant.

• CVE-2015-0231

  Stefan Esser a découvert une utilisation de mémoire après libération dans la désérialisation d'objets.

• CVE-2015-0232

  Alex Eubanks a découvert une gestion incorrecte de mémoire dans l'extension exif.

• CVE-2015-0273

  Une utilisation de mémoire après libération dans la désérialisation de DateTimeZone.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 5.4.38-0+deb7u1.

Pour la prochaine distribution stable (Jessie), ces problèmes ont été corrigés dans la version 5.6.6+dfsg-2.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 5.6.6+dfsg-2.

Nous vous recommandons de mettre à jour vos paquets php5.