Debians sikkerhedsbulletin
DSA-3369-1 zendframework -- sikkerhedsopdatering
- Rapporteret den:
- 6. okt 2015
- Berørte pakker:
- zendframework
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2015-5723, CVE-2015-7695.
- Yderligere oplysninger:
-
Flere sårbarheder blev opdaget i Zend Framework, et PHP-framework:
- CVE-2015-5723
Man opdagede at på grund af ukorrekte rettighedsmasker ved oprettelse af mapper, kunne lokale angribere potentielt udføre vilkårlig kode eller forøge rettigheder.
- ZF2015-08 (intet CVE tildelt)
Chris Kings-Lynne opdagede en angrebsvektor vedrørende SQL-indsprøjtning, forårsaget af manglende null-byte-filtrering i MS SQL PDO-backend'en, og et lignende problem blev også fundet i SQLite-backend'en.
I den gamle stabile distribution (wheezy), er dette problem rettet i version 1.11.13-1.1+deb7u4.
I den stabile distribution (jessie), er dette problem rettet i version 1.12.9+dfsg-2+deb8u4.
I distributionen testing (stretch), er dette problem rettet i version 1.12.16+dfsg-1.
I den ustabile distribution (sid), er dette problem rettet i version 1.12.16+dfsg-1.
Vi anbefaler at du opgraderer dine zendframework-pakker.
- CVE-2015-5723