LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2018 / Informations sur la sécurité -- DLA-1608-1 php5

Bulletin d'alerte Debian

DLA-1608-1 php5 -- Mise à jour de sécurité pour LTS

Date du rapport :

17 décembre 2018

Paquets concernés :

php5

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-19518, CVE-2018-19935.

Plus de précisions :

Des vulnérabilités ont été découvertes dans php5, un langage de script embarqué dans du HTML et côté serveur. Remarquez que cette mise à jour inclut une modification du comportement par défaut pour les connexions IMAP. Voir ci-dessous pour les détails.

• CVE-2018-19518

  Une vulnérabilité d’injection d’argument dans imap_open() peut permettre à un attaquant distant d’exécuter des commandes d’OS arbitraires sur le serveur IMAP.

  Le correctif pour la vulnérabilité CVE-2018-19518 incluait cette note supplémentaire des développeurs amont :

  À partir de 5.6.38, les connexions rsh/ssh sont désactivées par défaut. Utiliser imap.enable_insecure_rsh pour pouvoir les activer. Notez que la bibliothèque IMAP ne filtre pas les noms de boîte aux lettres avant de les passer à la commande rsh/ssh, par conséquent passer des données non fiables à cette fonction avec rsh/ssh activé est non sûr.

• CVE-2018-19935

  Un déréférencement de pointeur NULL conduit à un plantage d'application et à un déni de service à l'aide d'une chaîne vide dans l’argument du message de la fonction imap_mail de ext/imap/php_imap.c.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 5.6.39+dfsg-0+deb8u1.

Nous vous recommandons de mettre à jour vos paquets php5.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.