Trois problèmes ont été découverts dans php5, un langage de script embarqué dans du HTML et côté serveur.
Une lecture hors limites d’un octet pourrait éventuellement amener une divulgation d'informations ou un plantage.
Une URL contenant le caractère zero (\0) serait tronquée à cette valeur. Cela pourrait conduire certains logiciels à faire des hypothèses incorrectes et, éventuellement, envoyer des informations au mauvais serveur.
L’utilisation d’une chaîne encodée sous forme d’URL mal formée pourrait amener à une lecture hors limites.
Pour Debian 8 Jessie
, ces problèmes ont été corrigés dans
la version 5.6.40+dfsg-0+deb8u11.
Nous vous recommandons de mettre à jour vos paquets php5.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.