遠端 Debian 11 主機上安裝的多個套件受到 dsa-5363 公告中提及的多個弱點影響。

  - 在 PHP 8.0.28 之前的 8.0.X 版、 8.1.16 之前的 8.1.X 版和 8.2.3 之前的 8.2.X 版中，核心路徑解析函式配置的緩衝區一個位元組太小。解析長度接近系統 MAXPATHLEN 設定的路徑時，這可能會導致已配置緩衝區之後的位元組被 NULL 值覆寫，進而可能導致未經授權的資料存取或修改。(CVE-2023-0568)

  - 在 PHP 8.0.28 之前的 8.0.X 版、 8.1.16 之前的 8.1.X 版和 8.2.3 之前的 8.2.X 版中，HTTP 表單上傳中的過量片段會造成高資源消耗和過量的記錄項目。這會耗盡 CPU 資源或磁碟空間，進而在受影響的伺服器上造成拒絕服務。(CVE-2023-0662)

  - php：PDO: : quote() 可能因為整數溢位問題而傳回不具引號的字串 (CVE-2022-31631)

  - Password_verify() 一律傳回具有某些雜湊 [fedora-36] 的真值 (CVE-2023-0567)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Debian DSA-5363-1：php7.4 - 安全性更新

high Nessus Plugin ID 171921

版本 1.4