Säkerhetsbulletin från Debian
DSA-3369-1 zendframework -- säkerhetsuppdatering
- Rapporterat den:
- 2015-10-06
- Berörda paket:
- zendframework
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2015-5723, CVE-2015-7695.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i Zend Framework, ett PHP-ramverk:
- CVE-2015-5723
Man har upptäckt att på grund av felaktiga rättighetetsmaskar vid skapande av mappar kan lokala angripare potentiellt köra godtycklig kod eller öka rättigheter.
- ZF2015-08 (ingen CVE tilldelad)
Chris Kings-Lynne upptäckte en SQL-injiceringsvektor orsakad av bristande null-bytefiltrering i MS SQL PDO-bakänden, och ett liknande problem hittades även i SQLite-bakänden.
För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 1.11.13-1.1+deb7u4.
För den stabila utgåvan (Jessie) har detta problem rättats i version 1.12.9+dfsg-2+deb8u4.
För uttestningsutgåvan (Stretch) har detta problem rättats i version 1.12.16+dfsg-1.
För den instabila utgåvan (Sid) har detta problem rättats i version 1.12.16+dfsg-1.
Vi rekommenderar att ni uppgraderar era zendframework-paket.
- CVE-2015-5723