Debians sikkerhedsbulletin
DSA-3265-1 zendframework -- sikkerhedsopdatering
- Rapporteret den:
- 20. maj 2015
- Berørte pakker:
- zendframework
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 743175, Fejl 754201.
I Mitres CVE-ordbog: CVE-2014-2681, CVE-2014-2682, CVE-2014-2683, CVE-2014-2684, CVE-2014-2685, CVE-2014-4914, CVE-2014-8088, CVE-2014-8089, CVE-2015-3154. - Yderligere oplysninger:
-
Adskillige sårbarheder blev opdaget i Zend Framework, et PHP-framework. Bortset fra CVE-2015-3154, er alle nedennævnte problemer allerede rettet i den første version, som blev udsendt med Jessie.
- CVE-2014-2681
Lukas Reschke rapporterede om manglende beskyttelse mod XML External Entity-indsprøjtningsangreb i nogle funktioner. Rettelsen udvider den ufuldstændige fra CVE-2012-5657.
- CVE-2014-2682
Lukas Reschke rapporterede om, at der ikke blev taget i betragtning, at indstillingen libxml_disable_entity_loader deles blandt tråde i PHP-FPM's tilfælde. Rettelsen udvider den ufuldstændige fra CVE-2012-5657.
- CVE-2014-2683
Lukas Reschke rapporterede om manglende beskyttelse mod XML Entity Expansion-angreb i nogle funktioner. Rettelsen udvider den ufuldstændige fra CVE-2012-6532.
- CVE-2014-2684
Christian Mainka og Vladislav Mladenov fra Ruhr-University Bochum rapporterede om en fejl i consumer'erens verifikationsmetode, som kunne føre til accept af tokens med et forkert ophav.
- CVE-2014-2685
Christian Mainka og Vladislav Mladenov fra Ruhr-University Bochum rapporterede om en specifikationsovertrædelse, hvor signering af et enkelt parameter fejlagtigt blev anset for at være tilstrækkeligt.
- CVE-2014-4914
Cassiano Dal Pizzol opdagede at implementeringen af ORDER BY SQL-statementet i Zend_Db_Select, indeholdt en potentiel SQL-indsprøjtningssårbarhed, når den modtagne querystreng indeholder parenteser.
- CVE-2014-8088
Yury Dyachenko fra Positive Research Center opdagede potentielle XML eXternal Entity-indsprøjtnings-angrebsvinkler på grund af usikker anvendelse af PHP's DOM-udvidelse.
- CVE-2014-8089
Jonas Sandström opdagede en SQL-indsprøjtnings-angrebsvinkel, når der værdier manuelt sættes i anførselstegn til brug i sqlsrv-udvidelsen, med brug af nullbyte.
- CVE-2015-3154
Filippo Tessarotto og Maks3w rapporterede om potentielle CRLF-indsprøjtningsangreb i mail- og HTTP-headere.
I den gamle stabile distribution (wheezy), er disse problemer rettet i version 1.11.13-1.1+deb7u1.
I den stabile distribution (jessie), er disse problemer rettet i version 1.12.9+dfsg-2+deb8u1.
I distributionen testing (stretch), vil disse problemer blive rettet i version 1.12.12+dfsg-1.
I den ustabile distribution (sid), er disse problemer rettet i version 1.12.12+dfsg-1.
Vi anbefaler at du opgraderer dine zendframework-pakker.
- CVE-2014-2681