Информация по безопасности / 2015 / Информация о безопасности -- DSA-3265-1 zendframework

Рекомендация Debian по безопасности

DSA-3265-1 zendframework -- обновление безопасности

Дата сообщения:

20.05.2015

Затронутые пакеты:

zendframework

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 743175, Ошибка 754201.
В каталоге Mitre CVE: CVE-2014-2681, CVE-2014-2682, CVE-2014-2683, CVE-2014-2684, CVE-2014-2685, CVE-2014-4914, CVE-2014-8088, CVE-2014-8089, CVE-2015-3154.

Более подробная информация:

В Zend Framework, инфраструктуре PHP, были обнаружены многочисленные уязвимости. За исключением CVE-2015-3154 все эти проблемы уже были исправлены в версии, вошедшей в Jessie.

• CVE-2014-2681

  Лукас Решке сообщил об отсутствии в некоторых функциях защиты от инъекций внешних сущностей XML. Данное исправление дополняет неполное исправление для CVE-2012-5657.

• CVE-2014-2682

  Лукас Решке сообщил о невозможности проверки того, что libxml_disable_entity_loader разделяется среди нитей в случае PHP-FPM. Данное исправление дополняет неполное исправление для CVE-2012-5657.

• CVE-2014-2683

  Лукас Решке сообщил об отсутствии в некоторых функциях защиты от атак по принципу подстановки сущностей XML. Данное исправление дополняет неполное исправление для CVE-2012-6532.

• CVE-2014-2684

  Кристиан Маинка и Владислав Младенов из Рурского университета сообщили об ошибке в методе проверки получателя, которая приводит к принятию токенов от неверного источника.

• CVE-2014-2685

  Кристиан Маинка и Владислав Младенов из Рурского университета сообщили о нарушении спецификации, в котором подписывание единичного параметра некорректно считается достаточным.

• CVE-2014-4914

  Кассиано Дал Пиццоль обнаружил, что реализация SQL-утверждения ORDER BY в Zend_Db_Select содержит потенциальную возможность выполнения SQL-инъекций при передаче запроса, содержащего скобки.

• CVE-2014-8088

  Юрий Дьяченко из Positive Research Center обнаружил потенциальную возможность инъекции внешних сущностей XML, возникающую из-за небезопасного использования расширения DOM для PHP.

• CVE-2014-8089

  Йонас Зандштрём обнаружил возможность выполнения SQL-инъекции при закавычивании значения для расширения sqlsrv вручную с использованием null-байта.

• CVE-2015-3154

  Филиппо Тессаротто и Maks3w сообщили о потенциальной возможности выполнения CRLF-инъекций в почтовые и HTTP заголовки.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.11.13-1.1+deb7u1.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.12.9+dfsg-2+deb8u1.

В тестируемом выпуске (stretch) эти проблемы будут исправлены в версии 1.12.12+dfsg-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.12.12+dfsg-1.

Рекомендуется обновить пакеты zendframework.