-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2015-13
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2015/05/26
 最終更新日   : 2015/05/26

 パッケージ名 : php

 タイトル : php に複数の脆弱性

 概要 : PHP は、HTML ファイル内に記述するタイプのスクリプト言語です。

      PHP に複数の脆弱性が存在します。

 影響 : GetCode_ 関数の欠陥で、第三者が細工した GIF 画像を使用すると、DoS 状態
      (バッファオーバーリードおよびアプリケーションクラッシュ)にされる可能性が
      あります(CVE-2014-9709)。

      regcomp 関数の欠陥で、Henry Spencer の正規表現(regex)ライブラリに正規表現
      文字列の長さを指定する変数 len の値を使った乗算と加算した結果にバッファ
      オーバーフローの脆弱性が存在し、第三者が脆弱性を利用して任意のコードが
      実行される、メモリのデータが改竄される可能性があります(CVE-2015-2305)。
      ※勧告番号:TLSA-2015-7 セキュリティパッチを PHP 開発元のパッチに差し替え

      _zip_cdir_new 関数の欠陥で、バッファオーバーフローの脆弱性が存在し、
      第三者が細工した ZIP を使用して、DoS 状態(アプリケーションクラッシュ)に
      される、任意のコードを実行される可能性があります(CVE-2015-2331)。

      process_nested_data 関数の欠陥で、解放済みメモリを使用(Use-after-free)して
      任意のコードが実行される脆弱性が存在し、第三者が細工したデータを使用して
      任意のコードが実行される可能性があります(CVE-2015-2787)。

 影響製品 :

    - Turbolinux Client 12.5
    - Turbolinux Appliance Server 3.0 x64 Edition (延長メンテナンス)
    - Turbolinux Appliance Server 3.0 (延長メンテナンス)
    - Turbolinux 11 Server x64 Edition
    - Turbolinux 11 Server
    - Turbolinux Appliance Server 2.0 (延長メンテナンス)
    - Turbolinux 10 Server x64 Edition (延長メンテナンス)

 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux Client 12.5 の場合]
          アップデートは、KDE デスクトップのパネルの通知アイコンをクリックし
          メニューから [アップデートの参照] を選択し行って下さい。

          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux 10 Server x64 Edition の場合]
          アップデートは、Kメニュー「左端の メニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 TLAS Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Server の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u php php-bcmath php-cli php-common php-dba php-embedded php-gd \
             php-imap php-ldap php-mbstring php-mcrypt php-mhash php-mssql \
             php-mysql php-ncurses php-odbc php-pdo php-pgsql php-snmp \
             php-soap php-tidy php-xml

 [Turbolinux 10 Server x64 Edition の場合]
 # turbopkg
 # turbo+ --cui
 もしくは、
 # turbo+ -u php4 php4-gd php4-imap php4-ldap php4-manual php4-ming php4-mysql php4-pgsql
 ----------------------------------------


 <Turbolinux Client 12.5>

   Source Packages
   Size: MD5

   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-source/php-5.2.4-26.src.rpm
      7719996 f44d7aea02f1592a628dd561b8240adc

   Binary Packages
   Size: MD5

   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/php-5.2.4-26.i586.rpm
      4083952 f89e69c29446321f53c2d7b2420252b7
   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/php-cli-5.2.4-26.i586.rpm
      2655026 1b0d3094a1190699b5137d59ce6bb017
   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/php-common-5.2.4-26.i586.rpm
       281061 86d2a91e22773c6ecd9e39a54e21895c
   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/php-devel-5.2.4-26.i586.rpm
       552463 45b94e46ebf46ecc7fe241244e895f53

 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   php-5.2.4-26.src.rpm
      7737259 dfcda59899d42986fff4c5cfdaa3e782

   Binary Packages
   Size: MD5

   php-5.2.4-26.x86_64.rpm
      4176229 057541618d2352e25eca5a67e3f8426a
   php-bcmath-5.2.4-26.x86_64.rpm
        48216 33e7f04aa9f57547206bd0394ead4f26
   php-cli-5.2.4-26.x86_64.rpm
      2640223 92e4789bd34d9d00dfe5f8f88e62174f
   php-common-5.2.4-26.x86_64.rpm
       286369 d41f57477d400135a8c5ba92ff9ae7e7
   php-dba-5.2.4-26.x86_64.rpm
        62822 3fba62a5cb7b3341ba003ebd6a154b92
   php-embedded-5.2.4-26.x86_64.rpm
      1376154 0688ad27cc08f2d2f21912555bc2bfdb
   php-gd-5.2.4-26.x86_64.rpm
       216418 99baeb8b1bb6b81252bf7f770286cd2d
   php-imap-5.2.4-26.x86_64.rpm
        89204 772ebf714190488e7dcc4200d673a113
   php-ldap-5.2.4-26.x86_64.rpm
        52956 ac6498b44f991c1cb5cde8ce0024efb1
   php-mbstring-5.2.4-26.x86_64.rpm
      2168136 69a7671eaa1938fe23ad5d0d531d0b85
   php-mcrypt-5.2.4-26.x86_64.rpm
        40724 59838e3ef14351ed280986a951d68306
   php-mhash-5.2.4-26.x86_64.rpm
        21988 3cb8d45dd5e814eed3a7101caa1356e8
   php-mssql-5.2.4-26.x86_64.rpm
        56369 a43b94bb87fa221a74e2103fbc491eb2
   php-mysql-5.2.4-26.x86_64.rpm
       159123 5040830ed90e3212db2c189ad4801234
   php-ncurses-5.2.4-26.x86_64.rpm
        62756 3a37a010b5a6c1d3538d69df32033ee5
   php-odbc-5.2.4-26.x86_64.rpm
        87313 991db799f84a742b03317c46bc4b4ed8
   php-pdo-5.2.4-26.x86_64.rpm
       113816 9ad59b84c4f1bedefa78c4be0fb68001
   php-pgsql-5.2.4-26.x86_64.rpm
       124891 b498428a58a252729950c0dfa8d94ec3
   php-snmp-5.2.4-26.x86_64.rpm
        33522 9840e45602908161d0bc7b28f06d6d2f
   php-soap-5.2.4-26.x86_64.rpm
       272626 3a32fe7f8e2db0247d48ace109d10229
   php-tidy-5.2.4-26.x86_64.rpm
        48192 470d2a342c2a591526e634f96f2fd07e
   php-xml-5.2.4-26.x86_64.rpm
       191427 a45c88fa6ffa6f84d1f7453d35bc6cbe
   php-xmlrpc-5.2.4-26.x86_64.rpm
        91949 726de975f42b89f7742581f65fba6240

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   php-5.2.4-26.src.rpm
      7737259 dfcda59899d42986fff4c5cfdaa3e782

   Binary Packages
   Size: MD5

   php-5.2.4-26.i686.rpm
      3842475 1e12e3f08b968011a0d77d91299fe72a
   php-bcmath-5.2.4-26.i686.rpm
        37738 f69aabc996826cd3057a9ce444798905
   php-cli-5.2.4-26.i686.rpm
      2501288 5a7792bbb4b9805bb50c5b3ca331cf40
   php-common-5.2.4-26.i686.rpm
       274179 7be0c4676033ad672d205f0da0b94098
   php-dba-5.2.4-26.i686.rpm
        58366 cf161f37cf26bc79d3270802e03c2151
   php-embedded-5.2.4-26.i686.rpm
      1266815 baac5c3c959fad04629cf4819ff7f7a8
   php-gd-5.2.4-26.i686.rpm
       202505 70757e80f5f5b5d99766984c5a1971f9
   php-imap-5.2.4-26.i686.rpm
        81858 967e5bff784745da8ffba1cf955d7c0f
   php-ldap-5.2.4-26.i686.rpm
        48642 daea4fa0a3c8a2952921c78e21650583
   php-mbstring-5.2.4-26.i686.rpm
      2124618 edf3a2a7ae9985197a374b3302ea879d
   php-mcrypt-5.2.4-26.i686.rpm
        34138 902d5b6e699f1652b11bb677729bdca1
   php-mhash-5.2.4-26.i686.rpm
        21194 723a97deb728197d87350d0d53ebf6f1
   php-mssql-5.2.4-26.i686.rpm
        52806 c78a3e1406d0682844276b62d680b312
   php-mysql-5.2.4-26.i686.rpm
       141903 d563f2eacdbddd328236355c1c8f1ee3
   php-ncurses-5.2.4-26.i686.rpm
        56259 581c9ee02ed31296b4daf2ff2fc83634
   php-odbc-5.2.4-26.i686.rpm
        79392 e9f543352bf4ce4f1ab904472ad6fd39
   php-pdo-5.2.4-26.i686.rpm
       105592 dc23060935ea6c37188b4a2df5b4c92a
   php-pgsql-5.2.4-26.i686.rpm
       113039 c24c3868c0688c83335a3278f806c39a
   php-snmp-5.2.4-26.i686.rpm
        31054 1b8b90821a3d4869819d151d7500d003
   php-soap-5.2.4-26.i686.rpm
       268147 57dfce494243edfb30217bedf579a759
   php-tidy-5.2.4-26.i686.rpm
        44936 29ec3af2e45e07232b88458f2a1af57d
   php-xml-5.2.4-26.i686.rpm
       167640 d9760cdd651f94bd10eef97f1d98f8cf
   php-xmlrpc-5.2.4-26.i686.rpm
        85351 b1c9af96b22384ee0350db65e6cf55ee

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/php-5.2.4-26.src.rpm
      7719849 1a93a2e01bae3fe0ce336156ee7853d8

   Binary Packages
   Size: MD5

   php-5.2.4-26.x86_64.rpm
      4176229 057541618d2352e25eca5a67e3f8426a
   php-bcmath-5.2.4-26.x86_64.rpm
        48216 6f723f0f5c2c896e4632ed7cf97e5a55
   php-cli-5.2.4-26.x86_64.rpm
      2640223 92e4789bd34d9d00dfe5f8f88e62174f
   php-common-5.2.4-26.x86_64.rpm
       286369 d41f57477d400135a8c5ba92ff9ae7e7
   php-dba-5.2.4-26.x86_64.rpm
        62822 43ce6ea3fb574424bab5cfd9ba055735
   php-devel-5.2.4-26.x86_64.rpm
       573306 50f6dd08a5114027cf145892059d7bb2
   php-embedded-5.2.4-26.x86_64.rpm
      1376154 9fc2eb80af8af62a9629814045a06320
   php-gd-5.2.4-26.x86_64.rpm
       216418 4d6e9b5462e980344de510e599d14d6a
   php-imap-5.2.4-26.x86_64.rpm
        89204 772ebf714190488e7dcc4200d673a113
   php-ldap-5.2.4-26.x86_64.rpm
        52956 ac6498b44f991c1cb5cde8ce0024efb1
   php-mbstring-5.2.4-26.x86_64.rpm
      2168136 6ad886e02f849cae130a0e44a1b72953
   php-mcrypt-5.2.4-26.x86_64.rpm
        40724 9a5c7efbedc1a6f6af8a2a45272e4f12
   php-mhash-5.2.4-26.x86_64.rpm
        21988 27a4abb5e60d2f60d327817c5f6e47df
   php-mssql-5.2.4-26.x86_64.rpm
        56369 62f7e5faa0ffbca06073864ce691c9c1
   php-mysql-5.2.4-26.x86_64.rpm
       159123 5040830ed90e3212db2c189ad4801234
   php-ncurses-5.2.4-26.x86_64.rpm
        62756 a135add3bf3a71e7a3dabbb199508d6e
   php-odbc-5.2.4-26.x86_64.rpm
        87313 ebb77a264bf5500588688dc7e92b3dc0
   php-pdo-5.2.4-26.x86_64.rpm
       113816 9ad59b84c4f1bedefa78c4be0fb68001
   php-pgsql-5.2.4-26.x86_64.rpm
       124891 b498428a58a252729950c0dfa8d94ec3
   php-snmp-5.2.4-26.x86_64.rpm
        33522 13316e94a1eb52dd84e362954e43711d
   php-soap-5.2.4-26.x86_64.rpm
       272626 e9abc82beed5bb3040d71f3f624587c4
   php-tidy-5.2.4-26.x86_64.rpm
        48192 849a1f669a6d9f786ede1a269ac72881
   php-xml-5.2.4-26.x86_64.rpm
       191427 addf001c633fe514eef89c034196246f
   php-xmlrpc-5.2.4-26.x86_64.rpm
        91949 5424061bbf1f32659ab34cea80dedf11

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/php-5.2.4-26.src.rpm
      7737259 1ef0a8d447d18838febdda0bc0b7c6b4

   Binary Packages
   Size: MD5

   php-5.2.4-26.i686.rpm
      3842475 c986848b14a04667d69514110d6e2c38
   php-bcmath-5.2.4-26.i686.rpm
        37738 555c040598263b538169d2b8dc92a0a2
   php-cli-5.2.4-26.i686.rpm
      2501288 3a68ec9d56c193c1bd463a344ea5de08
   php-common-5.2.4-26.i686.rpm
       274179 f5dad6e2b89bf1686ce72940d38d8bba
   php-dba-5.2.4-26.i686.rpm
        58366 a0d0c2b6cfd1f3a3d7d662f758bfb5b9
   php-devel-5.2.4-26.i686.rpm
       573203 30cc3f467ab895db316b1591544e99b8
   php-embedded-5.2.4-26.i686.rpm
      1266815 33949ebc1ae3a6b8d34f3b98b9da72b9
   php-gd-5.2.4-26.i686.rpm
       202505 5a31881b6870480297146e6b52ccf86c
   php-imap-5.2.4-26.i686.rpm
        81858 df4d97fe0e601a4c60211f19a7bb224b
   php-ldap-5.2.4-26.i686.rpm
        48642 a8b15180296f79b0d108f86acdc1b0c8
   php-mbstring-5.2.4-26.i686.rpm
      2124618 91dc26af9696d72ce99334ba5bb1004d
   php-mcrypt-5.2.4-26.i686.rpm
        34138 316c967e560e898a62c362612403cbc0
   php-mhash-5.2.4-26.i686.rpm
        21194 a79c69273958d08636ca38d73452d6d4
   php-mssql-5.2.4-26.i686.rpm
        52806 f7ded4b0c413152a642e058ddd87c043
   php-mysql-5.2.4-26.i686.rpm
       141903 966e01e2dcf669ca05c5a85c788d0a10
   php-ncurses-5.2.4-26.i686.rpm
        56259 bae20c536b4a68d819b5e2a86a647924
   php-odbc-5.2.4-26.i686.rpm
        79392 f79c7c2b576c3a6bb79974371f11f61a
   php-pdo-5.2.4-26.i686.rpm
       105592 ca2389351388ef315cabcfe773fa46d2
   php-pgsql-5.2.4-26.i686.rpm
       113039 6a473e8e4ece7829db90b7e9363b67cc
   php-snmp-5.2.4-26.i686.rpm
        31054 3f13fc117079afe1a8ec8828f210e6a6
   php-soap-5.2.4-26.i686.rpm
       268147 32795b1f3019066c51bea3cf1ce9e500
   php-tidy-5.2.4-26.i686.rpm
        44936 bb5ac942ed8034a310e60944091f8859
   php-xml-5.2.4-26.i686.rpm
       167640 5402f700e83d8f51e5daeaca4c7155e2
   php-xmlrpc-5.2.4-26.i686.rpm
        85351 1375b3b35a01c271e39d696e20325097

 <Turbolinux Appliance Server 2.0>

   Source Packages
   Size: MD5

   php4-4.3.11-38.src.rpm
     12628828 576c143f3ee8b54379a06d0304888f9a

   Binary Packages
   Size: MD5

   php4-4.3.11-38.i586.rpm
      5381703 01f5a4991f5e3a509c2523e054310bb6
   php4-gd-4.3.11-38.i586.rpm
        52024 29af181fdb8866d2e895a57ddab5d9b8
   php4-imap-4.3.11-38.i586.rpm
        15175 06a83857eebba79ce6bda8df762ed4db
   php4-ldap-4.3.11-38.i586.rpm
        38592 5d7171d180dc9ce323e4b1e6c66e598e
   php4-manual-4.3.11-38.i586.rpm
      7506413 30617698d46cb2e83c0cd1b4b5a9f17a
   php4-ming-4.3.11-38.i586.rpm
        49989 c7ab19ee2e96101730cc048249d5f729
   php4-mysql-4.3.11-38.i586.rpm
       127092 5f8a08e7aaefe447a189998da14abdd6
   php4-pgsql-4.3.11-38.i586.rpm
        75032 5d06fc8e48dfd68936d475b2f78dc67e

 <Turbolinux 10 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/10/updates/SRPMS/php4-4.3.9-29.src.rpm
     12386998 efcf5e651d00f6bb7cd42250ce7da6a5

   Binary Packages
   Size: MD5

   php4-4.3.9-29.x86_64.rpm
      5484335 67b8baaebad3729796e514adbb97266f
   php4-debug-4.3.9-29.x86_64.rpm
      6596599 8420e3b31e04b7060a6a8dfe213c6905
   php4-gd-4.3.9-29.x86_64.rpm
        54994 c07fcc9434fdfc4c2ac32494f18e2aaa
   php4-imap-4.3.9-29.x86_64.rpm
        12724 f71fc75166713f562103dc2ebe0198ac
   php4-ldap-4.3.9-29.x86_64.rpm
        40609 3425e60fefa1cf5db3fa946c1846f43d
   php4-manual-4.3.9-29.x86_64.rpm
      7504474 4769e910e0bfc470f0d7b1b75c5f1336
   php4-ming-4.3.9-29.x86_64.rpm
        52676 e802bc6c89b87f7c0b47b04eb9c23da6
   php4-mysql-4.3.9-29.x86_64.rpm
       135985 b8c62a0bcfbc37dab627e28933cc7854
   php4-pgsql-4.3.9-29.x86_64.rpm
        77599 a8ab2f2da446f3601bac572f4d445b16


 関連文章 :

 CVE
   [CVE-2014-9709]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9709
   [CVE-2015-2305]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2305
   [CVE-2015-2331]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2331
   [CVE-2015-2787]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2787

 --------------------------------------------------------------------------
 更新履歴
   初版   2015/05/26
 --------------------------------------------------------------------------

 Copyright(C) 2015 Turbolinux, Inc. All rights reserved.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iEYEARECAAYFAlVkG1EACgkQK0LzjOqIJMzlhgCgl+aEgd4VLL/KvP12PrrsTFbX
OFcAoJ9QcdWw7fFz1yTfz6dYsabt5lLl
=FWVi
-----END PGP SIGNATURE-----