Информация по безопасности / 2015 / Информация о безопасности -- DSA-3380-1 php5

Рекомендация Debian по безопасности

DSA-3380-1 php5 -- обновление безопасности

Дата сообщения:

27.10.2015

Затронутые пакеты:

php5

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-7803, CVE-2015-7804.

Более подробная информация:

В PHP, языке сценариев общего назначения, обычно используемом для разработки веб-приложений, было обнаружено две уязвимости.

• CVE-2015-7803

  Работа расширения phar может завершиться аварийное из-за разыменования NULL-указателя при обработке архивов tar, содержащих ссылки, указывающие на несуществующие файлы. Это может приводить к отказу в обслуживании.

• CVE-2015-7804

  Расширение phar неправильно обрабатывает каталоги в архивах с именем "/", что приводит к отказу в обслуживании и потенциальному раскрытию информации.

Обновление для стабильного выпуска Debian (jessie) содержит дополнительные исправления ошибок из основной ветки разработки PHP версии 5.6.14, они описаны в журнале изменений основной ветки разработки:

• https://php.net/ChangeLog-5.php#5.6.14

Пользователям предыдущего стабильного выпуска (wheezy) следует обратить внимание на то, что жизненный цикл PHP версии 5.4 завершиться 14 сентября 2015 года. Основная ветка разработки больше не будет выпускать обновлений для этой версии. Поддержка безопасности PHP версии 5.4 в предыдущем выпуска Debian (wheezy) будет осуществляться только силами разработчиков Debian, поэтому настоятельно рекомендуем выполнить обновление до последнего стабильного выпуска Debian (jessie), содержащего PHP версии 5.6.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 5.4.45-0+deb7u2.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 5.6.14+dfsg-0+deb8u1.

В тестируемом (stretch) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 5.6.14+dfsg-1.

Рекомендуется обновить пакеты php5.