• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3074-1 php5 -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3074-1 php5 -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
php5 (any)
Описание
Франсиско Алонзо из Red Hat Product Security обнаружил проблему в утилите
file, код которой встроен в PHP, язык сценариев общего
назначения. При проверке ELF-файлов, заголовки с примечаниями проверяются некорректно,
что потенциально позволяет злоумышленникам вызывать отказ в обслуживании
(чтение за пределами выделенной памяти и аварийное завершение работы приложения) путём передачи специально
сформированного ELF-файла.
Как сообщалось в DSA-3064-1, для пакетов php5 из Wheezy было решено
следовать выпускам стабильной ветки 5.4.x. Следовательно,
данная уязвимость решена путём обновления PHP до новой версии
5.4.35 из основной ветки разработки, что включает в себя дополнительные исправления ошибок, новые возможности и
изменения, которые могут оказаться несовместимыми с предыдущими версиями. За дополнительной информацией
обращайтесь у журналу изменения из основной ветки разработки:
http://php.net/ChangeLog-5.php#5.4.35http://php.net/ChangeLog-5.php#5.4.35">http://php.net/ChangeLog-5.php#5.4.35 /> В стабильном выпуске (wheezy) эта проблема была исправлена в
версии 5.4.35-0+deb7u1.
Рекомендуется обновить пакеты php5.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
php5 - 5.4.35-0+deb7u1
Ссылки
http://www.debian.org/security/dsa-3074/

Источник: CVE
Наименование: CVE-2014-3710
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3710