Flere fjernudnytbare særbarheder er opdaget i PHP, et server-side skriptsprog med indlejring af HTML, hvilket kunne føre til udførelse af vilkårlig kode. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
CVE-2007-1286 Stefan Esser opdagede et overløb i objektreferencehåndteringskoden i funktionen unserialize(), hvilket gjorde det muligt at udføre vilkårlig kode hvis misdannet inddata blev overført fra et program.
CVE-2007-1380 Stefan Esser opdagede at sessionshåndteren udførte utilstrækkelig kontrol af variabelnavnes længdeværdier, hvilket muliggjorde informationsafsløring gennem en heap-informationslækage.
CVE-2007-1521 Stefan Esser opdagede en dobbelt frigivelses-sårbarhed i funktionen session_regenerate_id(), hvilket muliggjorde udførelse af vilkårlig kode.
CVE-2007-1711 Stefan Esser opdagede en dobbelt frigivelses-sårbarhed i sessionshåndteringskoden, hvilket muliggjorde udførelse af vilkårlig kode.
CVE-2007-1718 Stefan Esser opdagede at funktionen mail() udførte utilstrækkelig kontrol af foldede mailheadere, hvilket muliggjorde mailheader-indsprøjtning.
CVE-2007-1777 Stefan Esser opdagede at udvidelsen til håndtering af ZIP-arkiv udførte utilstrækkelig længdekontroller, hvilket muliggjorde udførelse af vilkårlig kode.
I den gamle stabile distribution (sarge) er disse problemer rettet i version 4.3.10-20.
I den stabile distribution (etch) er disse problemer rettet i version 4.4.4-8+etch2.
I den ustabile distribution (sid) er disse problemer rettet i version 4.4.6-1. php4 vil blive fjernet fra sid; dermed opfordres du kraftigt til at migrere til php5, hvis du foretrækker at anvende den ustabile distribution.
Vi anbefaler at du opgraderer dine PHP-pakker. Pakker til arkitekturerne arm, m68k, mips og mipsel er endnu ikke tilgængelige. De vil senere blive stillet til rådighed.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.