Рекомендация Debian по безопасности

DSA-4080-1 php7.0 -- обновление безопасности

Дата сообщения:
08.01.2018
Затронутые пакеты:
php7.0
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2017-11144, CVE-2017-11145, CVE-2017-11628, CVE-2017-12932, CVE-2017-12933, CVE-2017-12934, CVE-2017-16642.
Более подробная информация:

В PHP, широко используемом языке общего назначения с открытым исходным кодом, было обнаружено несколько уязвимостей:

  • CVE-2017-11144

    Отказ в обслуживании в расширении openssl из-за некорректной проверки возвращаемого значения функции шифрования OpenSSL

  • CVE-2017-11145

    Чтение за пределами выделенного буфера памяти в функции wddx_deserialize()

  • CVE-2017-11628

    Переполнение буфера в API для грамматического разбора INI

  • CVE-2017-12932 / CVE-2017-12934

    Использование указателей после освобождения памяти в ходе десериализации

  • CVE-2017-12933

    Чтение за пределами выделенного буфера памяти в функции finish_nested_data()

  • CVE-2017-16642

    Чтение за пределами выделенного буфера памяти в функции timelib_meridian()

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 7.0.27-0+deb9u1.

Рекомендуется обновить пакеты php7.0.

С подробным статусом поддержки безопасности php7.0 можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/php7.0