-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2014-8
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2014/09/30
 最終更新日   : 2014/09/30

 パッケージ名 : php

 タイトル : php に複数の脆弱性

 概要 : PHP は、HTML ファイル内に記述するタイプのスクリプト言語です。

      PHP に複数の脆弱性が存在します。

 影響 : gdImageCreateFromXpm 関数の欠陥で、DoS 攻撃を受ける可能性があります(CVE-2014-2497)。
      SPL コンポーネントの欠陥で、任意のコードが実行される可能性があります(CVE-2014-3515)。
      phpinfo の欠陥で、プロセスメモリから情報が取得される可能性があります(CVE-2014-4721)。

 影響製品 :

    - Turbolinux Client 12.5
    - Turbolinux Appliance Server 3.0 x64 Edition
    - Turbolinux Appliance Server 3.0
    - Turbolinux 11 Server x64 Edition
    - Turbolinux 11 Server
    - Turbolinux Appliance Server 2.0 (延長メンテナンス)
    - Turbolinux 10 Server x64 Edition (延長メンテナンス)
    - Turbolinux 10 Server (延長メンテナンス)

 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux Client 12.5 の場合]
          アップデートは、KDE デスクトップのパネルの通知アイコンをクリックし
          メニューから [アップデートの参照] を選択し行って下さい。

          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux 10 Server, Turbolinux 10 Server x64 Edition の場合]
          アップデートは、Kメニュー「左端の メニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 TLAS Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Server の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u php php-bcmath php-cli php-common php-dba php-embedded php-gd \
             php-imap php-ldap php-mbstring php-mcrypt php-mhash php-mssql \
             php-mysql php-ncurses php-odbc php-pdo php-pgsql php-snmp \
             php-soap php-tidy php-xml

 [Turbolinux 10 Server の場合]
 # turbopkg
 # turbo+ --cui
 もしくは、
 # turbo+ -u php4 php4-gd php4-imap php4-ldap php4-manual php4-ming php4-mysql php4-pgsql
 ----------------------------------------


 <Turbolinux Client 12.5>

   Source Packages
   Size: MD5

   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-source/php-5.2.4-22.src.rpm
      7714338 9e3ed8f995cbd26e536dde7a3665bcda

   Binary Packages
   Size: MD5

   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/php-5.2.4-22.i586.rpm
      4080918 cbe690898574e140eb0a88489d4769aa
   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/php-cli-5.2.4-22.i586.rpm
      2653957 8a924065ebff923f031e43ace63d2f9e
   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/php-common-5.2.4-22.i586.rpm
       280529 56e69032fb2ce294297b158eb8596079
   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/php-devel-5.2.4-22.i586.rpm
       551902 a5fa5ac62a86c66aa19ed9eea480f05a

 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   php-5.2.4-22.src.rpm
      7731234 0b1060e7ced8ec858d34e04be5e355c1

   Binary Packages
   Size: MD5

   php-5.2.4-22.x86_64.rpm
      4174606 1050cc4ded27bf9055b7992257a1b90a
   php-bcmath-5.2.4-22.x86_64.rpm
        47696 0c823a5020a4c97622f5486892607db8
   php-cli-5.2.4-22.x86_64.rpm
      2640318 cbe554224df8ccfc6a95f0e01c8cf08a
   php-common-5.2.4-22.x86_64.rpm
       285808 3d21f5847a42f51279189c8322a3d1a0
   php-dba-5.2.4-22.x86_64.rpm
        62301 e36a610a9ab0fcd775f9ca35ce468f82
   php-embedded-5.2.4-22.x86_64.rpm
      1375865 4ba1e9a7cd644809460fcffb70ea0b2f
   php-gd-5.2.4-22.x86_64.rpm
       215163 373d812be0a92686d964539cdf3ee435
   php-imap-5.2.4-22.x86_64.rpm
        88632 d699e5a193fb9da42f43e67ab55af1fa
   php-ldap-5.2.4-22.x86_64.rpm
        52434 cf39093cd78b9ff5bc98db33a8c7097e
   php-mbstring-5.2.4-22.x86_64.rpm
      2167627 a3618121af1d891dc9b214d4fff46abf
   php-mcrypt-5.2.4-22.x86_64.rpm
        40238 e41eb7c2b4eaf84bcfcfeeac36221f34
   php-mhash-5.2.4-22.x86_64.rpm
        21487 59fe9b35eecb436d43b098c776dc68ca
   php-mssql-5.2.4-22.x86_64.rpm
        55847 be803c2c89a46567ab61023d83b04e8c
   php-mysql-5.2.4-22.x86_64.rpm
       158552 c6c1921e5ae16f95efb5ea03dc9d1713
   php-ncurses-5.2.4-22.x86_64.rpm
        62240 dd1538cd887240eb04a9e86548609fb9
   php-odbc-5.2.4-22.x86_64.rpm
        86836 908030a9ca1becda30c9cda86699363c
   php-pdo-5.2.4-22.x86_64.rpm
       113241 5c57919af0cc7af3a03dd5625ec88bb0
   php-pgsql-5.2.4-22.x86_64.rpm
       124284 85ceed9a780e62326c6a43f860374482
   php-snmp-5.2.4-22.x86_64.rpm
        32995 ecb2794a298b0adf963a7650ffcb269f
   php-soap-5.2.4-22.x86_64.rpm
       272132 2b0532ee2a5c60b73c786d52fae1dfc3
   php-tidy-5.2.4-22.x86_64.rpm
        47686 800772fbc4da717078df5c99b10fe923
   php-xml-5.2.4-22.x86_64.rpm
       190795 651b6ab4f01355fc3e01c187b5ed55d1
   php-xmlrpc-5.2.4-22.x86_64.rpm
        91421 8255c120ca7cfec02b98340bb09f2ca3

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   php-5.2.4-22.src.rpm
      7731234 0b1060e7ced8ec858d34e04be5e355c1

   Binary Packages
   Size: MD5

   php-5.2.4-22.i686.rpm
      3849294 a34a4b57d09cbb8023e941a76bfd5e57
   php-bcmath-5.2.4-22.i686.rpm
        37229 e8255fa88274694b22ac856f3a6c9a48
   php-cli-5.2.4-22.i686.rpm
      2497460 74e38299209792f4eb728f9c3b448039
   php-common-5.2.4-22.i686.rpm
       273665 9c7e8cbd900bb9952db2080938735390
   php-dba-5.2.4-22.i686.rpm
        57816 701a8ff8699f6e2819ac033393f89985
   php-embedded-5.2.4-22.i686.rpm
      1266411 56ca7231b8f808a29773063da6deb537
   php-gd-5.2.4-22.i686.rpm
       201867 8df36c84acb5e71b548323d6e68beb30
   php-imap-5.2.4-22.i686.rpm
        81334 28c42873f3dba2ec31030e256f1130ff
   php-ldap-5.2.4-22.i686.rpm
        48135 c79da37f14e2cfbcbdada6e19f49ec6c
   php-mbstring-5.2.4-22.i686.rpm
      2124117 79486d250011bafafd127429bd0f5d42
   php-mcrypt-5.2.4-22.i686.rpm
        33650 4bc20ee7149a5bdd0d0814de184b4bef
   php-mhash-5.2.4-22.i686.rpm
        20679 aad03f13c4289d2737b4356d58264b53
   php-mssql-5.2.4-22.i686.rpm
        52238 07a2a84c291b2c072cc74147ea5ffe73
   php-mysql-5.2.4-22.i686.rpm
       141372 114e5dac42fab79d0f7c40ebcfa0b594
   php-ncurses-5.2.4-22.i686.rpm
        55744 b79c361ca0958643fcc90731f9a74856
   php-odbc-5.2.4-22.i686.rpm
        78883 3504f7cdd739638523180eb0c50dbc64
   php-pdo-5.2.4-22.i686.rpm
       105048 aa0022c36fa7e97e244e16bcc968cad4
   php-pgsql-5.2.4-22.i686.rpm
       112469 7b72ed4a8a985fcd9fb34320e16c34e1
   php-snmp-5.2.4-22.i686.rpm
        30574 8126e04cf596e182f873fda8bb918aa5
   php-soap-5.2.4-22.i686.rpm
       267630 8dd593bb2954b9bbbf7b8cb37d1eea07
   php-tidy-5.2.4-22.i686.rpm
        44414 14a32fa7cf2ff227bfe3398babb60ac0
   php-xml-5.2.4-22.i686.rpm
       167042 d6d76de3f590d62c8bc247bbd7b1cb77
   php-xmlrpc-5.2.4-22.i686.rpm
        84825 458008eeb10c9aa48cbacf10533f313b

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/php-5.2.4-22.src.rpm
      7714218 a4b1cc330f6e24e3b6f1e62935827722

   Binary Packages
   Size: MD5

   php-5.2.4-22.x86_64.rpm
      4174606 1050cc4ded27bf9055b7992257a1b90a
   php-bcmath-5.2.4-22.x86_64.rpm
        47696 0c823a5020a4c97622f5486892607db8
   php-cli-5.2.4-22.x86_64.rpm
      2640318 cbe554224df8ccfc6a95f0e01c8cf08a
   php-common-5.2.4-22.x86_64.rpm
       285808 3d21f5847a42f51279189c8322a3d1a0
   php-dba-5.2.4-22.x86_64.rpm
        62301 e36a610a9ab0fcd775f9ca35ce468f82
   php-devel-5.2.4-22.x86_64.rpm
       571899 3a587bc41c350ffaa5f9d3ef4d286407
   php-embedded-5.2.4-22.x86_64.rpm
      1375865 4ba1e9a7cd644809460fcffb70ea0b2f
   php-gd-5.2.4-22.x86_64.rpm
       215163 373d812be0a92686d964539cdf3ee435
   php-imap-5.2.4-22.x86_64.rpm
        88632 d699e5a193fb9da42f43e67ab55af1fa
   php-ldap-5.2.4-22.x86_64.rpm
        52434 cf39093cd78b9ff5bc98db33a8c7097e
   php-mbstring-5.2.4-22.x86_64.rpm
      2167627 a3618121af1d891dc9b214d4fff46abf
   php-mcrypt-5.2.4-22.x86_64.rpm
        40238 e41eb7c2b4eaf84bcfcfeeac36221f34
   php-mhash-5.2.4-22.x86_64.rpm
        21487 59fe9b35eecb436d43b098c776dc68ca
   php-mssql-5.2.4-22.x86_64.rpm
        55847 be803c2c89a46567ab61023d83b04e8c
   php-mysql-5.2.4-22.x86_64.rpm
       158552 c6c1921e5ae16f95efb5ea03dc9d1713
   php-ncurses-5.2.4-22.x86_64.rpm
        62240 dd1538cd887240eb04a9e86548609fb9
   php-odbc-5.2.4-22.x86_64.rpm
        86836 908030a9ca1becda30c9cda86699363c
   php-pdo-5.2.4-22.x86_64.rpm
       113241 5c57919af0cc7af3a03dd5625ec88bb0
   php-pgsql-5.2.4-22.x86_64.rpm
       124284 85ceed9a780e62326c6a43f860374482
   php-snmp-5.2.4-22.x86_64.rpm
        32995 ecb2794a298b0adf963a7650ffcb269f
   php-soap-5.2.4-22.x86_64.rpm
       272132 2b0532ee2a5c60b73c786d52fae1dfc3
   php-tidy-5.2.4-22.x86_64.rpm
        47686 800772fbc4da717078df5c99b10fe923
   php-xml-5.2.4-22.x86_64.rpm
       190795 651b6ab4f01355fc3e01c187b5ed55d1
   php-xmlrpc-5.2.4-22.x86_64.rpm
        91421 8255c120ca7cfec02b98340bb09f2ca3

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/php-5.2.4-22.src.rpm
      7731234 0b1060e7ced8ec858d34e04be5e355c1

   Binary Packages
   Size: MD5

   php-5.2.4-22.i686.rpm
      3849294 a34a4b57d09cbb8023e941a76bfd5e57
   php-bcmath-5.2.4-22.i686.rpm
        37229 e8255fa88274694b22ac856f3a6c9a48
   php-cli-5.2.4-22.i686.rpm
      2497460 74e38299209792f4eb728f9c3b448039
   php-common-5.2.4-22.i686.rpm
       273665 9c7e8cbd900bb9952db2080938735390
   php-dba-5.2.4-22.i686.rpm
        57816 701a8ff8699f6e2819ac033393f89985
   php-devel-5.2.4-22.i686.rpm
       572111 0c08c7bd4f6ade0b3b90ef640652c872
   php-embedded-5.2.4-22.i686.rpm
      1266411 56ca7231b8f808a29773063da6deb537
   php-gd-5.2.4-22.i686.rpm
       201867 8df36c84acb5e71b548323d6e68beb30
   php-imap-5.2.4-22.i686.rpm
        81334 28c42873f3dba2ec31030e256f1130ff
   php-ldap-5.2.4-22.i686.rpm
        48135 c79da37f14e2cfbcbdada6e19f49ec6c
   php-mbstring-5.2.4-22.i686.rpm
      2124117 79486d250011bafafd127429bd0f5d42
   php-mcrypt-5.2.4-22.i686.rpm
        33650 4bc20ee7149a5bdd0d0814de184b4bef
   php-mhash-5.2.4-22.i686.rpm
        20679 aad03f13c4289d2737b4356d58264b53
   php-mssql-5.2.4-22.i686.rpm
        52238 07a2a84c291b2c072cc74147ea5ffe73
   php-mysql-5.2.4-22.i686.rpm
       141372 114e5dac42fab79d0f7c40ebcfa0b594
   php-ncurses-5.2.4-22.i686.rpm
        55744 b79c361ca0958643fcc90731f9a74856
   php-odbc-5.2.4-22.i686.rpm
        78883 3504f7cdd739638523180eb0c50dbc64
   php-pdo-5.2.4-22.i686.rpm
       105048 aa0022c36fa7e97e244e16bcc968cad4
   php-pgsql-5.2.4-22.i686.rpm
       112469 7b72ed4a8a985fcd9fb34320e16c34e1
   php-snmp-5.2.4-22.i686.rpm
        30574 8126e04cf596e182f873fda8bb918aa5
   php-soap-5.2.4-22.i686.rpm
       267630 8dd593bb2954b9bbbf7b8cb37d1eea07
   php-tidy-5.2.4-22.i686.rpm
        44414 14a32fa7cf2ff227bfe3398babb60ac0
   php-xml-5.2.4-22.i686.rpm
       167042 d6d76de3f590d62c8bc247bbd7b1cb77
   php-xmlrpc-5.2.4-22.i686.rpm
        84825 458008eeb10c9aa48cbacf10533f313b

 <Turbolinux Appliance Server 2.0>

   Source Packages
   Size: MD5

   php4-4.3.11-34.src.rpm
     12623179 8c5cf468c3b6797e5348f7a1a9f87ed8

   Binary Packages
   Size: MD5

   php4-4.3.11-34.i586.rpm
      5375974 1d08156695b4f31068562c0bc7d99637
   php4-gd-4.3.11-34.i586.rpm
        51572 0f0b42cbc2bbe0b4426042c097582c12
   php4-imap-4.3.11-34.i586.rpm
        14723 d5ef8a1124c71f2de3608cc39061106c
   php4-ldap-4.3.11-34.i586.rpm
        38118 1949ef33e3cb91d4dd2e9d386e396298
   php4-manual-4.3.11-34.i586.rpm
      7505671 6c3f90e8a52d19150bb2584070365180
   php4-ming-4.3.11-34.i586.rpm
        49536 029f2f6458afcd7925633cd9728c3cac
   php4-mysql-4.3.11-34.i586.rpm
       126603 8ccf1d47f4e77a957d4610a1b9769be7
   php4-pgsql-4.3.11-34.i586.rpm
        74570 61ce73705af0191eceffe0f56627dd94

 <Turbolinux 10 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/10/updates/SRPMS/php4-4.3.9-26.src.rpm
     12385765 98f4e38fa77877683de5ed5947bc8226

   Binary Packages
   Size: MD5

   php4-4.3.9-26.x86_64.rpm
      5480655 f90f95610e500dd58f3ad223a43ba772
   php4-debug-4.3.9-26.x86_64.rpm
      6595457 6ebf4a946dd45b56f48ace27d73e830d
   php4-gd-4.3.9-26.x86_64.rpm
        54722 6daec811c81cf18a48fb44ac94bd5d93
   php4-imap-4.3.9-26.x86_64.rpm
        12489 7f8cefaaf45b7e956a1169584a3d42d4
   php4-ldap-4.3.9-26.x86_64.rpm
        40340 6c9ab080908a5645aae7e89842d6ab27
   php4-manual-4.3.9-26.x86_64.rpm
      7503511 988a6d1b2a9454785925a94d3990a2df
   php4-ming-4.3.9-26.x86_64.rpm
        52401 4c3c5bae37162004a02f5a5502106f2d
   php4-mysql-4.3.9-26.x86_64.rpm
       135714 fbba0493c0ad7cc08be62f83a5ed986d
   php4-pgsql-4.3.9-26.x86_64.rpm
        77258 d6f81c66039fe8982696a9ef3b62179d

 <Turbolinux 10 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/10/updates/SRPMS/php4-4.3.11-34.src.rpm
     12623179 8c5cf468c3b6797e5348f7a1a9f87ed8

   Binary Packages
   Size: MD5

   php4-4.3.11-34.i586.rpm
      5375974 1d08156695b4f31068562c0bc7d99637
   php4-debug-4.3.11-34.i586.rpm
      6492365 95ec9e11b2eb79ca3f9586411d5e3ff6
   php4-gd-4.3.11-34.i586.rpm
        51572 0f0b42cbc2bbe0b4426042c097582c12
   php4-imap-4.3.11-34.i586.rpm
        14723 d5ef8a1124c71f2de3608cc39061106c
   php4-ldap-4.3.11-34.i586.rpm
        38118 1949ef33e3cb91d4dd2e9d386e396298
   php4-manual-4.3.11-34.i586.rpm
      7505671 6c3f90e8a52d19150bb2584070365180
   php4-ming-4.3.11-34.i586.rpm
        49536 029f2f6458afcd7925633cd9728c3cac
   php4-mysql-4.3.11-34.i586.rpm
       126603 8ccf1d47f4e77a957d4610a1b9769be7
   php4-pgsql-4.3.11-34.i586.rpm
        74570 61ce73705af0191eceffe0f56627dd94


 関連文章 :

 CVE
   [CVE-2014-2497]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2497
   [CVE-2014-3515]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3515
   [CVE-2014-4721]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-4721

 --------------------------------------------------------------------------
 更新履歴
   初版   2014/09/30
 --------------------------------------------------------------------------

 Copyright(C) 2014 Turbolinux, Inc. All rights reserved.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iEYEARECAAYFAlQqWtoACgkQK0LzjOqIJMwB/QCgvli1n8AM/mnXQalUv9JpiWMC
x5oAoLpIvVfrjtRp4uagIvPGIQ4Xu3cl
=RsP7
-----END PGP SIGNATURE-----