Debian-Sicherheitsankündigung

DSA-1206-1 php4 -- Mehrere Verwundbarkeiten

Datum des Berichts:

06. Nov 2006

Betroffene Pakete:

php4

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2005-3353, CVE-2006-3017, CVE-2006-4482, CVE-2006-5465.

Weitere Informationen:

Mehrere entfernt ausnutzbare Verwundbarkeiten wurden in PHP, einer Server-seitigen, HTML-eingebetteten Skript-Sprache, gefunden. Dies kann zur Ausführung von beliebigen Code führen. Das Common Vulnerabilities and Exposures-Projekt identifiziert die folgenden Probleme:

CVE-2005-3353
Tim Starling entdeckte, dass eine fehlende Eingabebereinigung im EXIF-Modul zu einer Diensteverweigerung (denial of service) führen kann.
CVE-2006-3017
Stefan Esser entdeckte einen sicherheitskritischen Programmierfehler in der Hashtable-Implementierung der internen Zend-Engine.
CVE-2006-4482
Es wurde entdeckt, dass die Funktionen str_repeat() und wordwrap() unzureichende Überprüfungen auf Puffergrenzen auf 64-Bit Systemen durchführen, was zur Ausführung von beliebigen Code führen kann.
CVE-2006-5465
Stefan Esser entdeckte einen Pufferüberlauf in htmlspecialchars() und htmlentities(), was zur Ausführung von beliebigen Code führen kann.

Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 4:4.3.10-18 behoben. Aktualisierungen für hppa und m68k werden später bereitgestellt, sobald sie verfügbar sind.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 4:4.4.4-4 von php4 und Version 5.1.6-6 von php5 behoben.

Wir empfehlen Ihnen, Ihre php4-Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:: http://security.debian.org/pool/updates/main/p/php4/php4_4.3.10-18.dsc; http://security.debian.org/pool/updates/main/p/php4/php4_4.3.10-18.diff.gz; http://security.debian.org/pool/updates/main/p/php4/php4_4.3.10.orig.tar.gz
Architektur-unabhängige Dateien:: http://security.debian.org/pool/updates/main/p/php4/php4-pear_4.3.10-18_all.deb; http://security.debian.org/pool/updates/main/p/php4/php4_4.3.10-18_all.deb
Alpha:: http://security.debian.org/pool/updates/main/p/php4/libapache-mod-php4_4.3.10-18_alpha.deb; http://security.debian.org/pool/updates/main/p/php4/libapache2-mod-php4_4.3.10-18_alpha.deb; http://security.debian.org/pool/updates/main/p/php4/php4-cgi_4.3.10-18_alpha.deb; http://security.debian.org/pool/updates/main/p/php4/php4-cli_4.3.10-18_alpha.deb; http://security.debian.org/pool/updates/main/p/php4/php4-common_4.3.10-18_alpha.deb; http://security.debian.org/pool/updates/main/p/php4/php4-curl_4.3.10-18_alpha.deb; http://security.debian.org/pool/updates/main/p/php4/php4-dev_4.3.10-18_alpha.deb; http://security.debian.org/pool/updates/main/p/php4/php4-domxml_4.3.10-18_alpha.deb; http://security.debian.org/pool/updates/main/p/php4/php4-gd_4.3.10-18_alpha.deb; http://security.debian.org/pool/updates/main/p/php4/php4-imap_4.3.10-18_alpha.deb; http://security.debian.org/pool/updates/main/p/php4/php4-ldap_4.3.10-18_alpha.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mcal_4.3.10-18_alpha.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mhash_4.3.10-18_alpha.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mysql_4.3.10-18_alpha.deb; http://security.debian.org/pool/updates/main/p/php4/php4-odbc_4.3.10-18_alpha.deb; http://security.debian.org/pool/updates/main/p/php4/php4-recode_4.3.10-18_alpha.deb; http://security.debian.org/pool/updates/main/p/php4/php4-snmp_4.3.10-18_alpha.deb; http://security.debian.org/pool/updates/main/p/php4/php4-sybase_4.3.10-18_alpha.deb; http://security.debian.org/pool/updates/main/p/php4/php4-xslt_4.3.10-18_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/p/php4/libapache-mod-php4_4.3.10-18_amd64.deb; http://security.debian.org/pool/updates/main/p/php4/libapache2-mod-php4_4.3.10-18_amd64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-cgi_4.3.10-18_amd64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-cli_4.3.10-18_amd64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-common_4.3.10-18_amd64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-curl_4.3.10-18_amd64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-dev_4.3.10-18_amd64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-domxml_4.3.10-18_amd64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-gd_4.3.10-18_amd64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-imap_4.3.10-18_amd64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-ldap_4.3.10-18_amd64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mcal_4.3.10-18_amd64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mhash_4.3.10-18_amd64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mysql_4.3.10-18_amd64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-odbc_4.3.10-18_amd64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-recode_4.3.10-18_amd64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-snmp_4.3.10-18_amd64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-sybase_4.3.10-18_amd64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-xslt_4.3.10-18_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/p/php4/libapache-mod-php4_4.3.10-18_arm.deb; http://security.debian.org/pool/updates/main/p/php4/libapache2-mod-php4_4.3.10-18_arm.deb; http://security.debian.org/pool/updates/main/p/php4/php4-cgi_4.3.10-18_arm.deb; http://security.debian.org/pool/updates/main/p/php4/php4-cli_4.3.10-18_arm.deb; http://security.debian.org/pool/updates/main/p/php4/php4-common_4.3.10-18_arm.deb; http://security.debian.org/pool/updates/main/p/php4/php4-curl_4.3.10-18_arm.deb; http://security.debian.org/pool/updates/main/p/php4/php4-dev_4.3.10-18_arm.deb; http://security.debian.org/pool/updates/main/p/php4/php4-domxml_4.3.10-18_arm.deb; http://security.debian.org/pool/updates/main/p/php4/php4-gd_4.3.10-18_arm.deb; http://security.debian.org/pool/updates/main/p/php4/php4-imap_4.3.10-18_arm.deb; http://security.debian.org/pool/updates/main/p/php4/php4-ldap_4.3.10-18_arm.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mcal_4.3.10-18_arm.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mhash_4.3.10-18_arm.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mysql_4.3.10-18_arm.deb; http://security.debian.org/pool/updates/main/p/php4/php4-odbc_4.3.10-18_arm.deb; http://security.debian.org/pool/updates/main/p/php4/php4-recode_4.3.10-18_arm.deb; http://security.debian.org/pool/updates/main/p/php4/php4-snmp_4.3.10-18_arm.deb; http://security.debian.org/pool/updates/main/p/php4/php4-sybase_4.3.10-18_arm.deb; http://security.debian.org/pool/updates/main/p/php4/php4-xslt_4.3.10-18_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/p/php4/libapache-mod-php4_4.3.10-18_i386.deb; http://security.debian.org/pool/updates/main/p/php4/libapache2-mod-php4_4.3.10-18_i386.deb; http://security.debian.org/pool/updates/main/p/php4/php4-cgi_4.3.10-18_i386.deb; http://security.debian.org/pool/updates/main/p/php4/php4-cli_4.3.10-18_i386.deb; http://security.debian.org/pool/updates/main/p/php4/php4-common_4.3.10-18_i386.deb; http://security.debian.org/pool/updates/main/p/php4/php4-curl_4.3.10-18_i386.deb; http://security.debian.org/pool/updates/main/p/php4/php4-dev_4.3.10-18_i386.deb; http://security.debian.org/pool/updates/main/p/php4/php4-domxml_4.3.10-18_i386.deb; http://security.debian.org/pool/updates/main/p/php4/php4-gd_4.3.10-18_i386.deb; http://security.debian.org/pool/updates/main/p/php4/php4-imap_4.3.10-18_i386.deb; http://security.debian.org/pool/updates/main/p/php4/php4-ldap_4.3.10-18_i386.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mcal_4.3.10-18_i386.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mhash_4.3.10-18_i386.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mysql_4.3.10-18_i386.deb; http://security.debian.org/pool/updates/main/p/php4/php4-odbc_4.3.10-18_i386.deb; http://security.debian.org/pool/updates/main/p/php4/php4-recode_4.3.10-18_i386.deb; http://security.debian.org/pool/updates/main/p/php4/php4-snmp_4.3.10-18_i386.deb; http://security.debian.org/pool/updates/main/p/php4/php4-sybase_4.3.10-18_i386.deb; http://security.debian.org/pool/updates/main/p/php4/php4-xslt_4.3.10-18_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/p/php4/libapache-mod-php4_4.3.10-18_ia64.deb; http://security.debian.org/pool/updates/main/p/php4/libapache2-mod-php4_4.3.10-18_ia64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-cgi_4.3.10-18_ia64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-cli_4.3.10-18_ia64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-common_4.3.10-18_ia64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-curl_4.3.10-18_ia64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-dev_4.3.10-18_ia64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-domxml_4.3.10-18_ia64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-gd_4.3.10-18_ia64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-imap_4.3.10-18_ia64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-ldap_4.3.10-18_ia64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mcal_4.3.10-18_ia64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mhash_4.3.10-18_ia64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mysql_4.3.10-18_ia64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-odbc_4.3.10-18_ia64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-recode_4.3.10-18_ia64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-snmp_4.3.10-18_ia64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-sybase_4.3.10-18_ia64.deb; http://security.debian.org/pool/updates/main/p/php4/php4-xslt_4.3.10-18_ia64.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/p/php4/libapache-mod-php4_4.3.10-18_mips.deb; http://security.debian.org/pool/updates/main/p/php4/libapache2-mod-php4_4.3.10-18_mips.deb; http://security.debian.org/pool/updates/main/p/php4/php4-cgi_4.3.10-18_mips.deb; http://security.debian.org/pool/updates/main/p/php4/php4-cli_4.3.10-18_mips.deb; http://security.debian.org/pool/updates/main/p/php4/php4-common_4.3.10-18_mips.deb; http://security.debian.org/pool/updates/main/p/php4/php4-curl_4.3.10-18_mips.deb; http://security.debian.org/pool/updates/main/p/php4/php4-dev_4.3.10-18_mips.deb; http://security.debian.org/pool/updates/main/p/php4/php4-domxml_4.3.10-18_mips.deb; http://security.debian.org/pool/updates/main/p/php4/php4-gd_4.3.10-18_mips.deb; http://security.debian.org/pool/updates/main/p/php4/php4-imap_4.3.10-18_mips.deb; http://security.debian.org/pool/updates/main/p/php4/php4-ldap_4.3.10-18_mips.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mcal_4.3.10-18_mips.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mhash_4.3.10-18_mips.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mysql_4.3.10-18_mips.deb; http://security.debian.org/pool/updates/main/p/php4/php4-odbc_4.3.10-18_mips.deb; http://security.debian.org/pool/updates/main/p/php4/php4-recode_4.3.10-18_mips.deb; http://security.debian.org/pool/updates/main/p/php4/php4-snmp_4.3.10-18_mips.deb; http://security.debian.org/pool/updates/main/p/php4/php4-sybase_4.3.10-18_mips.deb; http://security.debian.org/pool/updates/main/p/php4/php4-xslt_4.3.10-18_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/p/php4/libapache-mod-php4_4.3.10-18_mipsel.deb; http://security.debian.org/pool/updates/main/p/php4/libapache2-mod-php4_4.3.10-18_mipsel.deb; http://security.debian.org/pool/updates/main/p/php4/php4-cgi_4.3.10-18_mipsel.deb; http://security.debian.org/pool/updates/main/p/php4/php4-cli_4.3.10-18_mipsel.deb; http://security.debian.org/pool/updates/main/p/php4/php4-common_4.3.10-18_mipsel.deb; http://security.debian.org/pool/updates/main/p/php4/php4-curl_4.3.10-18_mipsel.deb; http://security.debian.org/pool/updates/main/p/php4/php4-dev_4.3.10-18_mipsel.deb; http://security.debian.org/pool/updates/main/p/php4/php4-domxml_4.3.10-18_mipsel.deb; http://security.debian.org/pool/updates/main/p/php4/php4-gd_4.3.10-18_mipsel.deb; http://security.debian.org/pool/updates/main/p/php4/php4-imap_4.3.10-18_mipsel.deb; http://security.debian.org/pool/updates/main/p/php4/php4-ldap_4.3.10-18_mipsel.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mcal_4.3.10-18_mipsel.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mhash_4.3.10-18_mipsel.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mysql_4.3.10-18_mipsel.deb; http://security.debian.org/pool/updates/main/p/php4/php4-odbc_4.3.10-18_mipsel.deb; http://security.debian.org/pool/updates/main/p/php4/php4-recode_4.3.10-18_mipsel.deb; http://security.debian.org/pool/updates/main/p/php4/php4-snmp_4.3.10-18_mipsel.deb; http://security.debian.org/pool/updates/main/p/php4/php4-sybase_4.3.10-18_mipsel.deb; http://security.debian.org/pool/updates/main/p/php4/php4-xslt_4.3.10-18_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/p/php4/libapache-mod-php4_4.3.10-18_powerpc.deb; http://security.debian.org/pool/updates/main/p/php4/libapache2-mod-php4_4.3.10-18_powerpc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-cgi_4.3.10-18_powerpc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-cli_4.3.10-18_powerpc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-common_4.3.10-18_powerpc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-curl_4.3.10-18_powerpc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-dev_4.3.10-18_powerpc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-domxml_4.3.10-18_powerpc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-gd_4.3.10-18_powerpc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-imap_4.3.10-18_powerpc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-ldap_4.3.10-18_powerpc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mcal_4.3.10-18_powerpc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mhash_4.3.10-18_powerpc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mysql_4.3.10-18_powerpc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-odbc_4.3.10-18_powerpc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-recode_4.3.10-18_powerpc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-snmp_4.3.10-18_powerpc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-sybase_4.3.10-18_powerpc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-xslt_4.3.10-18_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/p/php4/libapache-mod-php4_4.3.10-18_s390.deb; http://security.debian.org/pool/updates/main/p/php4/libapache2-mod-php4_4.3.10-18_s390.deb; http://security.debian.org/pool/updates/main/p/php4/php4-cgi_4.3.10-18_s390.deb; http://security.debian.org/pool/updates/main/p/php4/php4-cli_4.3.10-18_s390.deb; http://security.debian.org/pool/updates/main/p/php4/php4-common_4.3.10-18_s390.deb; http://security.debian.org/pool/updates/main/p/php4/php4-curl_4.3.10-18_s390.deb; http://security.debian.org/pool/updates/main/p/php4/php4-dev_4.3.10-18_s390.deb; http://security.debian.org/pool/updates/main/p/php4/php4-domxml_4.3.10-18_s390.deb; http://security.debian.org/pool/updates/main/p/php4/php4-gd_4.3.10-18_s390.deb; http://security.debian.org/pool/updates/main/p/php4/php4-imap_4.3.10-18_s390.deb; http://security.debian.org/pool/updates/main/p/php4/php4-ldap_4.3.10-18_s390.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mcal_4.3.10-18_s390.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mhash_4.3.10-18_s390.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mysql_4.3.10-18_s390.deb; http://security.debian.org/pool/updates/main/p/php4/php4-odbc_4.3.10-18_s390.deb; http://security.debian.org/pool/updates/main/p/php4/php4-recode_4.3.10-18_s390.deb; http://security.debian.org/pool/updates/main/p/php4/php4-snmp_4.3.10-18_s390.deb; http://security.debian.org/pool/updates/main/p/php4/php4-sybase_4.3.10-18_s390.deb; http://security.debian.org/pool/updates/main/p/php4/php4-xslt_4.3.10-18_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/p/php4/libapache-mod-php4_4.3.10-18_sparc.deb; http://security.debian.org/pool/updates/main/p/php4/libapache2-mod-php4_4.3.10-18_sparc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-cgi_4.3.10-18_sparc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-cli_4.3.10-18_sparc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-common_4.3.10-18_sparc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-curl_4.3.10-18_sparc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-dev_4.3.10-18_sparc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-domxml_4.3.10-18_sparc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-gd_4.3.10-18_sparc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-imap_4.3.10-18_sparc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-ldap_4.3.10-18_sparc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mcal_4.3.10-18_sparc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mhash_4.3.10-18_sparc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-mysql_4.3.10-18_sparc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-odbc_4.3.10-18_sparc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-recode_4.3.10-18_sparc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-snmp_4.3.10-18_sparc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-sybase_4.3.10-18_sparc.deb; http://security.debian.org/pool/updates/main/p/php4/php4-xslt_4.3.10-18_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.