1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
|
<define-tag description>flere sårbarheder</define-tag>
<define-tag moreinfo>
<p>
Man opdagede at rettelsen vedrørende
<a href="https://security-tracker.debian.org/tracker/CVE-2007-4659">\
CVE-2007-4659</a> kunne føre til regressioner i nogle situationer. Rettelsen
er indtil videre blevet ført tilbage, og en revideret opdatering vil blive
gjort tilgængelig med en fremtidig PHP-DSA.
</p>
<p>Til reference er herunder den oprindelige bulletins tekst:</p>
<p>
Flere fjernudnytbare sårbarheder er opdaget i PHP, et serverskriptsprog med
indlejret HTML. Projektet Common Vulnerabilities and Exposures project har
fundet frem til følgende problemer:
</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2007-3799">CVE-2007-3799</a>
<p>
Man har opdaget at funktionen session_start() muliggjorde indsættelse af
attributter i sessions-cookien.
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2007-3998">CVE-2007-3998</a>
<p>
Mattias Bengtsson og Philip Olausson opdagede at en programmeringsfejl i
implementeringen af funktionen wordwrap(), muliggjorde et lammelsesangreb
gennem en uendelig løkke.
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2007-4658">CVE-2007-4658</a>
<p>
Stanislav Malyshev opdagede at en formatstrengssårbarhed i funktionen
money_format(), kunne muliggøre udførelse af vilkårlig kode.
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2007-4659">CVE-2007-4659</a>
<p>
Stefan Esser opdagede at <q>execution control flow</q> i funktionen
zend_alter_ini_entry(), blev håndtereret forkert i tilfælde af overskridelse
af en hukommelsesbegrænsning.
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2007-4660">CVE-2007-4660</a>
<p>
Gerhard Wagner opdagede et heltalsoverløb i funktionen chunk_split().
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2007-5898">CVE-2007-5898</a>
<p>
Rasmus Lerdorf opdagede at ukorrekt fortolkning af multibyte-sekvenser kunne
føre til afsløring af hukommelsesindhold.
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2007-5899">CVE-2007-5899</a>
<p>
Man har opdaget at funktionen output_add_rewrite_var() kunne lække
sessions-id-oplysninger, medførende informationsafsløring.
</p></li>
</ul>
<p>Denne opdatering retter også to fra PHP 5.2.4-udgaven, der ikke har
sikkerhedspåvirkning jf. Debians PHP-sikkerhedsretningslinjer
(<a href="https://security-tracker.debian.org/tracker/CVE-2007-4657">CVE-2007-4657</a>
og <a href="https://security-tracker.debian.org/tracker/CVE-2007-4662">CVE-2007-4662</a>),
men som ikke desto mindre er blevet rettet.</p>
<p>
Den gamle stabile distribution (sarge) indeholder ikke php5.
</p>
<p>
I den stabile distribution (etch), er disse problemer rettet i
version 5.2.0-8+etch10.
</p>
<p>
I den ustabile distribution (sid), er disse problemer rettet i version 5.2.4-1,
med undtagelse af <a href="https://security-tracker.debian.org/tracker/CVE-2007-5898">CVE-2007-5898</a>
og <a href="https://security-tracker.debian.org/tracker/CVE-2007-5899">CVE-2007-5899</a>,
der snart vil blive rettet. Bemærk at Debians version af PHP er styrket
(<q>hardened</q> med Suhosin-rettelsen siden version 5.2.4-1, hvilket gør at
flere sårbarheder er ineffektive.
</p>
<p>
Vi anbefaler at du opgraderer dine php5-pakker.
</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1444.data"
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" mindelta="1"
|