Säkerhetsbulletin från Debian

DSA-3369-1 zendframework -- säkerhetsuppdatering

Rapporterat den:
2015-10-06
Berörda paket:
zendframework
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2015-5723, CVE-2015-7695.
Ytterligare information:

Flera sårbarheter har upptäckts i Zend Framework, ett PHP-ramverk:

  • CVE-2015-5723

    Man har upptäckt att på grund av felaktiga rättighetetsmaskar vid skapande av mappar kan lokala angripare potentiellt köra godtycklig kod eller öka rättigheter.

  • ZF2015-08 (ingen CVE tilldelad)

    Chris Kings-Lynne upptäckte en SQL-injiceringsvektor orsakad av bristande null-bytefiltrering i MS SQL PDO-bakänden, och ett liknande problem hittades även i SQLite-bakänden.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 1.11.13-1.1+deb7u4.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1.12.9+dfsg-2+deb8u4.

För uttestningsutgåvan (Stretch) har detta problem rättats i version 1.12.16+dfsg-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.12.16+dfsg-1.

Vi rekommenderar att ni uppgraderar era zendframework-paket.