Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2868-1 php5

Debians sikkerhedsbulletin

DSA-2868-1 php5 -- lammelsesangreb

Rapporteret den:

2. mar 2014

Berørte pakker:

php5

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 739012.
I Mitres CVE-ordbog: CVE-2014-1943.

Yderligere oplysninger:

Man opdagede at file, et værktøj til klassifikation af filtyper, indeholdt en fejl i håndteringen af indirect magiske regler i biblioteket libmagic, hvilket førte til en uendelig løkke når værktøjet prøvede at visse filers filtype. Projektet Common Vulnerabilities and Exposures har tildelt id'en CVE-2014-1943, til identifikation af fejlen. Desuden kunne andre veldannede filer måske medføre lange behandlingstider (mens 100 procent af CPU'en blev benyttet) og for lange resultater.

Opdateringen retter fejlen i den indlejrede kopi af værktøjet i php5-pakken.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 5.3.3-7+squeeze19.

I den stabile distribution (wheezy), er dette problem rettet i version 5.4.4-14+deb7u8.

I distributionen testing (jessie) og i den ustabile distribution (sid), vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer dine php5-pakker.