Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
php5
(any)
Описание
В PHP, языке сценариев общего назначения, часто используемом для разработки
веб-приложений, были обнаружены несколько уязвимостей. Проект Common
Vulnerabilities and Exposures определяет следующие проблемы:
CVE-2014-3538
Было обнаружено, что исправление для CVE-2013-7345
недостаточно. Удалённый злоумышленник всё ещё может
вызвать отказ в обслуживании (чрезмерное потребление CPU) с помощью специально сформированного
файла, который включает механизм возврата во время обработки правила для регулярных выражений
в awk.
CVE-2014-3587
Было обнаружено, что ПО для грамматического разбора CDF из модуля fileinfo неправильно
обрабатывает некорректные файлы в формате Composite Document File
(CDF), что приводит к аварийной остановке работы приложения.
CVE-2014-3597
Было обнаружено, что исправление для CVE-2014-4049
недостаточно. Сервер или злоумышленник, производящий атаку по принципу
человек-в-середине, может вызвать отказ в обслуживании (аварийную остановку)
и выполнить произвольный код через специально сформированную запись DNS TXT.
CVE-2014-4670
Было обнаружено, что PHP некорректно обрабатывает некоторые
итераторы SPL. Локальный злоумышленник может использовать данную уязвимость для того, чтобы аварийно завершить работу PHP,
что приводит к отказу в обслуживании.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 5.4.4-14+deb7u13. Кроме того, данное обновление включает в себя несколько
исправлений ошибок, которые изначально планировалось включить в готовящуюся редакцию Wheezy.
В нестабильном выпуске (sid) эти проблемы будут исправлены позже.
Рекомендуется обновить пакеты php5.
веб-приложений, были обнаружены несколько уязвимостей. Проект Common
Vulnerabilities and Exposures определяет следующие проблемы:
CVE-2014-3538
Было обнаружено, что исправление для CVE-2013-7345
недостаточно. Удалённый злоумышленник всё ещё может
вызвать отказ в обслуживании (чрезмерное потребление CPU) с помощью специально сформированного
файла, который включает механизм возврата во время обработки правила для регулярных выражений
в awk.
CVE-2014-3587
Было обнаружено, что ПО для грамматического разбора CDF из модуля fileinfo неправильно
обрабатывает некорректные файлы в формате Composite Document File
(CDF), что приводит к аварийной остановке работы приложения.
CVE-2014-3597
Было обнаружено, что исправление для CVE-2014-4049
недостаточно. Сервер или злоумышленник, производящий атаку по принципу
человек-в-середине, может вызвать отказ в обслуживании (аварийную остановку)
и выполнить произвольный код через специально сформированную запись DNS TXT.
CVE-2014-4670
Было обнаружено, что PHP некорректно обрабатывает некоторые
итераторы SPL. Локальный злоумышленник может использовать данную уязвимость для того, чтобы аварийно завершить работу PHP,
что приводит к отказу в обслуживании.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 5.4.4-14+deb7u13. Кроме того, данное обновление включает в себя несколько
исправлений ошибок, которые изначально планировалось включить в готовящуюся редакцию Wheezy.
В нестабильном выпуске (sid) эти проблемы будут исправлены позже.
Рекомендуется обновить пакеты php5.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
php5 - 5.4.4-14+deb7u13
Debian GNU/Linux 7:
noarch:
php5 - 5.4.4-14+deb7u13
Ссылки
http://www.debian.org/security/dsa-3008/
Источник: CVE
Наименование: CVE-2014-3587
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3587
Источник: CVE
Наименование: CVE-2014-3597
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3597
Источник: CVE
Наименование: CVE-2014-3538
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3538
Источник: CVE
Наименование: CVE-2014-4670
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-4670
Источник: CVE
Наименование: CVE-2014-3587
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3587
Источник: CVE
Наименование: CVE-2014-3597
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3597
Источник: CVE
Наименование: CVE-2014-3538
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3538
Источник: CVE
Наименование: CVE-2014-4670
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-4670