• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3344-1 php5 -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3344-1 php5 -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
php5 (any)
Описание
В языке PHP были обнаружены многочисленные уязвимости:

CVE-2015-4598
thoger на redhat точка com обнаружил, что пути, содержащие символ NUL,
    обрабатываются неправильно, позволяя злоумышленнику
    изменять файлы на сервере.
CVE-2015-4643
Макс Шпелсберг обнаружил переполнение целых чисел, приводящее к
    переполнению динамической памяти в расширении FTP для PHP, которое возникает при выполнении
    грамматического разбора распечаток в ответах сервера FTP. Эта проблема может приводить к аварийному
    завершению работы или выполнению произвольного кода.
CVE-2015-4644
Ошибка сегментирования в функции php_pgsql_meta_data может приводить к аварийному завершению
    работы и отказу в обслуживании.
CVE-2015-5589
kwrnel на hotmail точка com обнаружил, что PHP может аварийно завершить свою работу при
    обработке некорректного файла phar, что приводит к отказу в
    обслуживании.
CVE-2015-5590
jared на enhancesoft точка com обнаружил переполнение буфера в
    функции phar_fix_filepath, которое может вызывать аварийное завершение работы или выполнение
    произвольного кода.
Кроме того, были исправлены некоторые другие уязвимости:
sean точка heelan на gmail точка com обнаружил проблему в
    десериализации некоторых элементов, что может приводить к выполнению произвольного
    кода.
stewie на mail точка ru обнаружил, что расширение phar неправильно
    обрабатывает архивы zip с относительными путями, что может позволить
    злоумышленнику перезаписать файлы за пределами целевого каталога.
taoguangchen на icloud точка com обнаружил несколько использований указателей после освобождения
    памяти, которые могут приводить к выполнению произвольного кода.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены
в версии 5.4.44-0+deb7u1.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 5.6.12+dfsg-0+deb8u1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 5.6.12+dfsg-1.
Рекомендуется обновить пакеты php5.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
php5 - 5.6.12+dfsg-0+deb8u1
Debian GNU/Linux 7:
noarch:
php5 - 5.4.44-0+deb7u1
Ссылки
http://www.debian.org/security/dsa-3344/

Источник: CVE
Наименование: CVE-2015-4598
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4598

Источник: CVE
Наименование: CVE-2015-5589
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5589

Источник: CVE
Наименование: CVE-2015-4643
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4643

Источник: CVE
Наименование: CVE-2015-5590
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5590

Источник: CVE
Наименование: CVE-2015-4644
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4644