Рекомендация Debian по безопасности
DSA-3265-1 zendframework -- обновление безопасности
- Дата сообщения:
- 20.05.2015
- Затронутые пакеты:
- zendframework
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 743175, Ошибка 754201.
В каталоге Mitre CVE: CVE-2014-2681, CVE-2014-2682, CVE-2014-2683, CVE-2014-2684, CVE-2014-2685, CVE-2014-4914, CVE-2014-8088, CVE-2014-8089, CVE-2015-3154. - Более подробная информация:
-
В Zend Framework, инфраструктуре PHP, были обнаружены многочисленные уязвимости. За исключением CVE-2015-3154 все эти проблемы уже были исправлены в версии, вошедшей в Jessie.
- CVE-2014-2681
Лукас Решке сообщил об отсутствии в некоторых функциях защиты от инъекций внешних сущностей XML. Данное исправление дополняет неполное исправление для CVE-2012-5657.
- CVE-2014-2682
Лукас Решке сообщил о невозможности проверки того, что libxml_disable_entity_loader разделяется среди нитей в случае PHP-FPM. Данное исправление дополняет неполное исправление для CVE-2012-5657.
- CVE-2014-2683
Лукас Решке сообщил об отсутствии в некоторых функциях защиты от атак по принципу подстановки сущностей XML. Данное исправление дополняет неполное исправление для CVE-2012-6532.
- CVE-2014-2684
Кристиан Маинка и Владислав Младенов из Рурского университета сообщили об ошибке в методе проверки получателя, которая приводит к принятию токенов от неверного источника.
- CVE-2014-2685
Кристиан Маинка и Владислав Младенов из Рурского университета сообщили о нарушении спецификации, в котором подписывание единичного параметра некорректно считается достаточным.
- CVE-2014-4914
Кассиано Дал Пиццоль обнаружил, что реализация SQL-утверждения ORDER BY в Zend_Db_Select содержит потенциальную возможность выполнения SQL-инъекций при передаче запроса, содержащего скобки.
- CVE-2014-8088
Юрий Дьяченко из Positive Research Center обнаружил потенциальную возможность инъекции внешних сущностей XML, возникающую из-за небезопасного использования расширения DOM для PHP.
- CVE-2014-8089
Йонас Зандштрём обнаружил возможность выполнения SQL-инъекции при закавычивании значения для расширения sqlsrv вручную с использованием null-байта.
- CVE-2015-3154
Филиппо Тессаротто и Maks3w сообщили о потенциальной возможности выполнения CRLF-инъекций в почтовые и HTTP заголовки.
В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.11.13-1.1+deb7u1.
В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.12.9+dfsg-2+deb8u1.
В тестируемом выпуске (stretch) эти проблемы будут исправлены в версии 1.12.12+dfsg-1.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.12.12+dfsg-1.
Рекомендуется обновить пакеты zendframework.
- CVE-2014-2681