Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3280-1 php5

Säkerhetsbulletin från Debian

DSA-3280-1 php5 -- säkerhetsuppdatering

Rapporterat den:

2015-06-07

Berörda paket:

php5

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-2783, CVE-2015-3329, CVE-2015-4021, CVE-2015-4022, CVE-2015-4024, CVE-2015-4025, CVE-2015-4026.

Ytterligare information:

Flera sårbarheter har upptäckts i PHP:

• CVE-2015-4025 / CVE-2015-4026

  Flera funktioner kontrollerar inte efter NULL-bytes i sökvägsnamn.

• CVE-2015-4024

  Överbelastning vid behandling av multipart/formulärdataförfrågningar.

• CVE-2015-4022

  Heltalsspill i funktionen ftp_genlist() kan leda till överbelastning eller potentiellt körning av godtycklig kod.

• CVE-2015-4021 CVE-2015-3329 CVE-2015-2783

  Flera sårbarheter i phar-tilläggsmodulen kan resultera i överbelastning eller potentiellt körning av godtycklig kod vid behandling av felaktigt formatterade arkiv.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 5.4.41-0+deb7u1.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 5.6.9+dfsg-0+deb8u1.

För uttestningsutgåvan (Stretch) har dessa problem rättats i version 5.6.9+dfsg-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 5.6.9+dfsg-1.

Vi rekommenderar att ni uppgraderar era php5-paket.