PHP チームのメンバの Stefan Esser さんが PHP の multipart/フォームデータの POST リクエスト (RFC1867 記載の POST アップロードとして知られるリクエスト) を処理する際にいくつかの弱点があることを見つけました。詳細は 脆弱性の詳細 に記載があります。 そのどの弱点によっても、攻撃者が攻撃対象のシステムで任意のコードを実行することが可能です。

PHP3 の問題点は境界チェックのバグと、ヒープオーバフローを任意に起こせるというバグなどです。 また PHP4 では、境界チェックのバグと、ヒープ外に一バイト踏み出してしまうバグなどです。

Debian 安定版 (potato) では、これらの問題は PHP3 のバージョン 3.0.18-0potato1.1 および、PHP4 ではバージョン 4.0.3pl1-0potato3 で修正されています。

Debian テスト版 (testing) および不安定版 (unstable) では、これらの問題は各々 PHP3 のバージョン 3.0.18-22 と、PHP4 のバージョン 4.1.2-1 で修正されています。

arm アーキテクチャ向けには、コンパイルエラーになる関係で PHP4 は安定版 (stable)、 不安定版 (unstable) のどちらでも提供されていません。

PHP パッケージを直ぐにアップグレードすることを勧めます。