• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3008-1 php5 -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3008-1 php5 -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
php5 (any)
Описание
В PHP, языке сценариев общего назначения, часто используемом для разработки
веб-приложений, были обнаружены несколько уязвимостей. Проект Common
Vulnerabilities and Exposures определяет следующие проблемы:

CVE-2014-3538
Было обнаружено, что исправление для CVE-2013-7345
    недостаточно. Удалённый злоумышленник всё ещё может
    вызвать отказ в обслуживании (чрезмерное потребление CPU) с помощью специально сформированного
    файла, который включает механизм возврата во время обработки правила для регулярных выражений
    в awk.
CVE-2014-3587
Было обнаружено, что ПО для грамматического разбора CDF из модуля fileinfo неправильно
    обрабатывает некорректные файлы в формате Composite Document File
    (CDF), что приводит к аварийной остановке работы приложения.
CVE-2014-3597
Было обнаружено, что исправление для CVE-2014-4049
    недостаточно. Сервер или злоумышленник, производящий атаку по принципу
    человек-в-середине, может вызвать отказ в обслуживании (аварийную остановку)
    и выполнить произвольный код через специально сформированную запись DNS TXT.
CVE-2014-4670
Было обнаружено, что PHP некорректно обрабатывает некоторые
    итераторы SPL. Локальный злоумышленник может использовать данную уязвимость для того, чтобы аварийно завершить работу PHP,
    что приводит к отказу в обслуживании.

В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 5.4.4-14+deb7u13. Кроме того, данное обновление включает в себя несколько
исправлений ошибок, которые изначально планировалось включить в готовящуюся редакцию Wheezy.
В нестабильном выпуске (sid) эти проблемы будут исправлены позже.
Рекомендуется обновить пакеты php5.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
php5 - 5.4.4-14+deb7u13
Ссылки
http://www.debian.org/security/dsa-3008/

Источник: CVE
Наименование: CVE-2014-3587
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3587

Источник: CVE
Наименование: CVE-2014-3597
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3597

Источник: CVE
Наименование: CVE-2014-3538
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3538

Источник: CVE
Наименование: CVE-2014-4670
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-4670