Рекомендация Debian по безопасности
DSA-3369-1 zendframework -- обновление безопасности
- Дата сообщения:
- 06.10.2015
- Затронутые пакеты:
- zendframework
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2015-5723, CVE-2015-7695.
- Более подробная информация:
-
В Zend Framework, инфраструктуре PHP, были обнаружены многочисленные уязвимости:
- CVE-2015-5723
Было обнаружено, что из-за некорректной маски прав доступа при создании каталогов локальные злоумышленники потенциально могут выполнить произвольный код или повысить свои привилегии.
- ZF2015-08 (идентификатор CVE не назначен)
Крис Кинга-Лэйн обнаружил SQL-инъекцию, вызываемую отсутствием фильтрации null-байта в движке MS SQL PDO, а также похожую проблему в движке SQLite.
В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в версии 1.11.13-1.1+deb7u4.
В стабильном выпуске (jessie) эта проблема была исправлена в версии 1.12.9+dfsg-2+deb8u4.
В тестируемом выпуске (stretch) эта проблема была исправлена в версии 1.12.16+dfsg-1.
В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.12.16+dfsg-1.
Рекомендуется обновить пакеты zendframework.
- CVE-2015-5723