blob: d66613dfe599a6b52bba9acc0ae07e5889be50d4 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
|
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности LTS</define-tag>
<define-tag moreinfo>
<p>В предыдущей загрузке zendframework содержалось неправильное исправление <a href="https://security-tracker.debian.org/tracker/CVE-2015-3154">CVE-2015-3154</a>,
вызывающее регресс. Данное обновление исправляет эту проблему. Благодарим
Евгения Смолина.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6531">CVE-2012-6531</a>
<p>Пэдрэк Брэйди обнаружил уязвимость в обработке класса SimpleXMLElement,
позволяющую удалённым злоумышленникам считывать произвольные
файлы или создавать TCP-соединения через инъекцию внешней
сущности XML (XXE).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-6532">CVE-2012-6532</a>
<p>Пэдрэк Брэйди обнаружил, что удалённые злоумышленники могут вызвать отказ в
обслуживании из-за чрезмерного потребления ресурсов ЦП с помощью рекурсивных или круговых ссылок
через раскрытие сущности XML (XEE).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2681">CVE-2014-2681</a>
<p>Лукас Решке сообщил об отсутствии защиты от инъекции внешних
сущностей XML в некоторых функциях. Данное исправление дополняет
неполное исправление <a href="https://security-tracker.debian.org/tracker/CVE-2012-5657">CVE-2012-5657</a>.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2682">CVE-2014-2682</a>
<p>Лукас Решке сообщил об ошибке проверки того, что
опция libxml_disable_entity_loader разделяется несколькими потоками в
случае использования PHP-FPM. Данное исправление дополняет неполное исправление
<a href="https://security-tracker.debian.org/tracker/CVE-2012-5657">CVE-2012-5657</a>.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2683">CVE-2014-2683</a>
<p>Лукас Решке сообщил об отсутствии защиты от раскрытия сущностей XML
в некоторых функциях. Данное исправление дополняет неполное
исправление <a href="https://security-tracker.debian.org/tracker/CVE-2012-6532">CVE-2012-6532</a>.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2684">CVE-2014-2684</a>
<p>Кристиан Маинка и Владислав Младенов из Рурского университета
сообщили об ошибке в методе проверки покупателя, которая приводит
к принятию токенов от неправильных источников.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2685">CVE-2014-2685</a>
<p>Кристиан Маинка и Владислав Младенов из Рурского университета
сообщили о нарушении спецификации, в котором подпись
единственного параметра ошибочно считается достаточной.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-4914">CVE-2014-4914</a>
<p>Кассиано Дал Пиццол обнаружил, что реализация SQL-утверждения ORDER
BY в Zend_Db_Select содержит потенциальную SQL-инъекцию в случае
передачи строки запроса, содержащей скобки.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8088">CVE-2014-8088</a>
<p>Юрий Дьяченко из Positive Research Center обнаружил потенциальную инъекцию
внешней сущности XML из-за небезопасного использования расширения DOM
для PHP.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8089">CVE-2014-8089</a>
<p>Йонас Сандстрём обнаружил SQL-инъекцию при ручном закавычивании
значения для расширения sqlsrv, используя null-байт.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3154">CVE-2015-3154</a>
<p>Филиппо Тессаротто и Maks3w сообщили о потенциальной инъекции CRLF
в сообщениях электронной почты и заголовках HTTP.</p></li>
</ul>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2015/dla-251.data"
# $Id$
|
