Debians sikkerhedsbulletin
DSA-3280-1 php5 -- sikkerhedsopdatering
- Rapporteret den:
- 7. jun 2015
- Berørte pakker:
- php5
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2015-2783, CVE-2015-3329, CVE-2015-4021, CVE-2015-4022, CVE-2015-4024, CVE-2015-4025, CVE-2015-4026.
- Yderligere oplysninger:
-
Adskillige sårbarheder blev opdaget i PHP:
- CVE-2015-4025 /
CVE-2015-4026
Adskillige funktioner kiggede ikke efter NULL-bytes i stinavne.
- CVE-2015-4024
Lammelsesangreb (denial of service) ved behandling af forespørgsler med multipart/form-data.
- CVE-2015-4022
Heltalsoverløb i funktionen ftp_genlist() kunne måske medføre lammelsesangreb eller potentiel udførelse af vilkårlig kode.
- CVE-2015-4021
CVE-2015-3329
CVE-2015-2783
Adskillige sårbarheder i phar-udvidelsen kunne måske medføre lammelsesangreb eller potenielt udførelse af vilkårlig kode, når misdannede arkiver blev behandlet.
I den gamle stabile distribution (wheezy), er disse problemer rettet i version 5.4.41-0+deb7u1.
I den stabile distribution (jessie), er disse problemer rettet i version 5.6.9+dfsg-0+deb8u1.
I distributionen testing (stretch), er disse problemer rettet i version 5.6.9+dfsg-1.
I den ustabile distribution (sid), er disse problemer rettet i version 5.6.9+dfsg-1.
Vi anbefaler at du opgraderer dine php5-pakker.
- CVE-2015-4025 /
CVE-2015-4026