path: root/japanese/security/2009/dsa-1940.wml

#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
<define-tag description>複合的な問題</define-tag>
<define-tag moreinfo>

<p>PHP 5 ハイパーテキストプリプロセッサに、リモートから攻撃可能な複数の問題
が発見されました。The Common Vulnerabilities and Exposures project は以
下の問題を認識しています。</p>

<p>以下の問題は、安定版 (lenny) と旧安定版 (etch) の両方で修正されました。</p>

<ul>
   
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-2687">CVE-2009-2687</a>
    <a href="https://security-tracker.debian.org/tracker/CVE-2009-3292">CVE-2009-3292</a>

    <p>exif モジュールが不正な形式の jpeg ファイルを正しく処理していないた
    め、攻撃者から SEGV を起こすことが可能で、サービス拒否攻撃に繋がります。</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-3291">CVE-2009-3291</a>

    <p>php_openssl_apply_verification_policy() 関数が適切な証明書の検証を行
   っていません。</p></li>


<li>CVE 番号未採番

   <p>Bogdan Calin さんにより、multipart/form データリクエストで多数のファ
   イルをアップロードすることにより多数の一時ファイルが作成されるため、
   サービス拒否攻撃が可能であることが発見されました。</p>

   <p>この欠陥の対処のため、PHP 5.3.1 で導入された max_file_uploads オプシ
   ョンがバックポートされました。このオプションはリクエスト毎に、アップ
   ロード可能なファイルの最大数を制限します。この新オプションの既定値は
   50 です。詳しい情報は NEWS.Debian を参照ください。</p></li>

</ul>

<p>以下の問題は安定版 (lenny) で修正されました。</p>
   
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-2626">CVE-2009-2626</a>

     <p>ini_restore() 関数の欠陥により、メモリ情報の内容が公開されるため、
    機密情報の漏洩に繋がる可能性があります。</p></li>

</ul>

<p>旧安定版 (etch) では、今回の更新で <a href="https://security-tracker.debian.org/tracker/CVE-2008-5658">CVE-2008-5658</a> 
に対する DSA-1789-1 で作り込まれたエンバグ (bug #527560) も修正されています。</p>

<p>安定版 (stable) ディストリビューション (lenny) では、これらの問題はバー
ジョン 5.2.6.dfsg.1-1+lenny4 で修正されています。</p>

<p>旧安定版 (oldstable) ディストリビューション (etch) では、これらの問題は
バージョン 5.2.0+dfsg-8+etch16 で修正されています。</p>

<p>テスト版 (squeeze) および不安定版 (unstable) ディストリビューションでは、
これらの問題はバージョン 5.2.11.dfsg.1-2 で修正予定です。</p>

<p>直ぐに php5 パッケージをアップグレードすることを勧めます。</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1940.data"
# $Id$