Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3265-1 zendframework

Debians sikkerhedsbulletin

DSA-3265-1 zendframework -- sikkerhedsopdatering

Rapporteret den:

20. maj 2015

Berørte pakker:

zendframework

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 743175, Fejl 754201.
I Mitres CVE-ordbog: CVE-2014-2681, CVE-2014-2682, CVE-2014-2683, CVE-2014-2684, CVE-2014-2685, CVE-2014-4914, CVE-2014-8088, CVE-2014-8089, CVE-2015-3154.

Yderligere oplysninger:

Adskillige sårbarheder blev opdaget i Zend Framework, et PHP-framework. Bortset fra CVE-2015-3154, er alle nedennævnte problemer allerede rettet i den første version, som blev udsendt med Jessie.

• CVE-2014-2681

  Lukas Reschke rapporterede om manglende beskyttelse mod XML External Entity-indsprøjtningsangreb i nogle funktioner. Rettelsen udvider den ufuldstændige fra CVE-2012-5657.

• CVE-2014-2682

  Lukas Reschke rapporterede om, at der ikke blev taget i betragtning, at indstillingen libxml_disable_entity_loader deles blandt tråde i PHP-FPM's tilfælde. Rettelsen udvider den ufuldstændige fra CVE-2012-5657.

• CVE-2014-2683

  Lukas Reschke rapporterede om manglende beskyttelse mod XML Entity Expansion-angreb i nogle funktioner. Rettelsen udvider den ufuldstændige fra CVE-2012-6532.

• CVE-2014-2684

  Christian Mainka og Vladislav Mladenov fra Ruhr-University Bochum rapporterede om en fejl i consumer'erens verifikationsmetode, som kunne føre til accept af tokens med et forkert ophav.

• CVE-2014-2685

  Christian Mainka og Vladislav Mladenov fra Ruhr-University Bochum rapporterede om en specifikationsovertrædelse, hvor signering af et enkelt parameter fejlagtigt blev anset for at være tilstrækkeligt.

• CVE-2014-4914

  Cassiano Dal Pizzol opdagede at implementeringen af ORDER BY SQL-statementet i Zend_Db_Select, indeholdt en potentiel SQL-indsprøjtningssårbarhed, når den modtagne querystreng indeholder parenteser.

• CVE-2014-8088

  Yury Dyachenko fra Positive Research Center opdagede potentielle XML eXternal Entity-indsprøjtnings-angrebsvinkler på grund af usikker anvendelse af PHP's DOM-udvidelse.

• CVE-2014-8089

  Jonas Sandström opdagede en SQL-indsprøjtnings-angrebsvinkel, når der værdier manuelt sættes i anførselstegn til brug i sqlsrv-udvidelsen, med brug af nullbyte.

• CVE-2015-3154

  Filippo Tessarotto og Maks3w rapporterede om potentielle CRLF-indsprøjtningsangreb i mail- og HTTP-headere.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 1.11.13-1.1+deb7u1.

I den stabile distribution (jessie), er disse problemer rettet i version 1.12.9+dfsg-2+deb8u1.

I distributionen testing (stretch), vil disse problemer blive rettet i version 1.12.12+dfsg-1.

I den ustabile distribution (sid), er disse problemer rettet i version 1.12.12+dfsg-1.

Vi anbefaler at du opgraderer dine zendframework-pakker.