RHEL 7:rh-php73-php (RHSA-2021: 2992)
medium Nessus Plugin ID 152348
語系:
概要
遠端 Red Hat 主機缺少一個或多個安全性更新。說明
遠端 Redhat Enterprise Linux 7 主機上安裝的套件受到 RHSA-2021: 2992 公告中提及的多個弱點影響。- php:phar_parse_zipfile 函式中會使用已釋放的雜湊金鑰 (CVE-2020-7068)
- php:12 位元組 IV 的 AES-CCM 加密中存在錯誤的加密文字/標籤 (CVE-2020-7069)
- php:Cookie 名稱的 URL 解碼可導致瀏覽器和伺服器之間對 Cookie 的解譯不同 (CVE-2020-7070)
- php:FILTER_VALIDATE_URL 接受包含無效 userinfo 的 URL (CVE-2020-7071)
- php:SoapClient 中存在 NULL 指標解除參照弱點 (CVE-2021-21702)
- php:FILTER_VALIDATE_URL 中存在 SSRF 繞過弱點 (CVE-2021-21705)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。
解決方案
更新受影響的套件。另請參閱
http://www.nessus.org/u?8bc44c1b
https://access.redhat.com/security/updates/classification/#moderate
https://access.redhat.com/errata/RHSA-2021:2992
https://bugzilla.redhat.com/show_bug.cgi?id=1868109
https://bugzilla.redhat.com/show_bug.cgi?id=1885735
https://bugzilla.redhat.com/show_bug.cgi?id=1885738
https://bugzilla.redhat.com/show_bug.cgi?id=1913846
https://bugzilla.redhat.com/show_bug.cgi?id=1925272
Plugin 詳細資訊
嚴重性: Medium
ID: 152348
檔案名稱: redhat-RHSA-2021-2992.nasl
版本: 1.9
類型: local
代理程式: unix
已發布: 2021/8/9
已更新: 2024/4/28
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Agentless Assessment, Frictionless Assessment Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: Medium
基本分數: 6.4
時間分數: 5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS 評分資料來源: CVE-2020-7069
CVSS v3
風險因素: Medium
基本分數: 6.5
時間分數: 5.9
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
弱點資訊
CPE: cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:rh-php73-php, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-bcmath, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-cli, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-common, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-dba, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-dbg, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-devel, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-embedded, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-enchant, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-fpm, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-gd, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-gmp, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-intl, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-json, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-ldap, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-mbstring, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-mysqlnd, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-odbc, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-opcache, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-pdo, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-pgsql, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-process, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-pspell, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-recode, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-snmp, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-soap, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-xml, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-xmlrpc, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-zip
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2021/8/3
弱點發布日期: 2020/8/10
參考資訊
CVE: CVE-2020-7068, CVE-2020-7069, CVE-2020-7070, CVE-2020-7071, CVE-2021-21702, CVE-2021-21705