Debian dla-3833:libapache2-mod-php7.3 - 安全性更新
medium Nessus Plugin ID 200704
語系:
概要
遠端 Debian 主機上缺少一個或多個安全性更新。說明
遠端 Debian 10 主機上安裝的多個套件受到 dla-3833 公告中提及的多個弱點影響。- ------------------------------------------------- ------------------------------------ Debian LTS 公告 DLA-3833-1 [email protected] https://www.debian.org/lts/security/Markus Koschany 2024 年 6 月 17 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------
套件:php7.3 版本:7.3.31-1~deb10u7 CVE ID:CVE-2024-5458 Debian 錯誤:1072885
PHP (一種廣泛使用的開放原始碼一般用途指令碼語言) 在剖析特定類型的 URL 時受到一個安全性問題影響。
由於一個程式碼邏輯錯誤,在驗證 URL (FILTER_VALIDATE_URL) 時,URL 函式會導致將無效的使用者資訊 (URL 的使用者名稱 + 密碼部分) 視為有效的使用者資訊。
這可能導致下游程式碼接受無效的 URL 為有效,並錯誤剖析這些 URL。此問題與 CVE-2020-7071 有關,但會影響 IPv6 主機部分。
針對 Debian 10 Buster,已在 7.3.31-1~deb10u7 版本中修正此問題。
建議您升級 php7.3 套件。
如需有關 php7.3 安全性狀態的詳細資訊,請參閱其安全追蹤頁面:
https://security-tracker.debian.org/tracker/php7.3
有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊,請參閱:https://wiki.debian.org/LTSAttachment:signature.ascDescription: 這是數位簽署的訊息部分
Tenable 已直接從 Debian 安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級 libapache2-mod-php7.3 套件。另請參閱
https://security-tracker.debian.org/tracker/source-package/php7.3
https://security-tracker.debian.org/tracker/CVE-2020-7071
Plugin 詳細資訊
嚴重性: Medium
ID: 200704
檔案名稱: debian_DLA-3833.nasl
版本: 1.1
類型: local
代理程式: unix
已發布: 2024/6/18
已更新: 2024/6/18
支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 2.2
CVSS v2
風險因素: Medium
基本分數: 5
時間分數: 3.9
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS 評分資料來源: CVE-2020-7071
CVSS v3
風險因素: Medium
基本分數: 5.3
時間分數: 4.8
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS 評分資料來源: CVE-2024-5458
弱點資訊
CPE: p-cpe:/a:debian:debian_linux:php7.3-pgsql, p-cpe:/a:debian:debian_linux:php7.3-cli, p-cpe:/a:debian:debian_linux:php7.3-dba, p-cpe:/a:debian:debian_linux:php7.3-interbase, p-cpe:/a:debian:debian_linux:php7.3-gmp, p-cpe:/a:debian:debian_linux:php7.3, p-cpe:/a:debian:debian_linux:php7.3-tidy, p-cpe:/a:debian:debian_linux:php7.3-sybase, p-cpe:/a:debian:debian_linux:php7.3-mysql, p-cpe:/a:debian:debian_linux:php7.3-enchant, cpe:/o:debian:debian_linux:10.0, p-cpe:/a:debian:debian_linux:php7.3-ldap, p-cpe:/a:debian:debian_linux:php7.3-recode, p-cpe:/a:debian:debian_linux:php7.3-pspell, p-cpe:/a:debian:debian_linux:php7.3-snmp, p-cpe:/a:debian:debian_linux:php7.3-curl, p-cpe:/a:debian:debian_linux:php7.3-sqlite3, p-cpe:/a:debian:debian_linux:php7.3-dev, p-cpe:/a:debian:debian_linux:php7.3-zip, p-cpe:/a:debian:debian_linux:php7.3-gd, p-cpe:/a:debian:debian_linux:php7.3-mbstring, p-cpe:/a:debian:debian_linux:php7.3-imap, p-cpe:/a:debian:debian_linux:php7.3-readline, p-cpe:/a:debian:debian_linux:php7.3-cgi, p-cpe:/a:debian:debian_linux:php7.3-json, p-cpe:/a:debian:debian_linux:php7.3-bcmath, p-cpe:/a:debian:debian_linux:php7.3-xml, p-cpe:/a:debian:debian_linux:php7.3-soap, p-cpe:/a:debian:debian_linux:php7.3-bz2, p-cpe:/a:debian:debian_linux:php7.3-common, p-cpe:/a:debian:debian_linux:php7.3-xmlrpc, p-cpe:/a:debian:debian_linux:php7.3-phpdbg, p-cpe:/a:debian:debian_linux:libapache2-mod-php7.3, p-cpe:/a:debian:debian_linux:php7.3-intl, p-cpe:/a:debian:debian_linux:php7.3-fpm, p-cpe:/a:debian:debian_linux:php7.3-odbc, p-cpe:/a:debian:debian_linux:libphp7.3-embed, p-cpe:/a:debian:debian_linux:php7.3-opcache, p-cpe:/a:debian:debian_linux:php7.3-xsl
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2024/6/17
弱點發布日期: 2021/1/5
參考資訊
CVE: CVE-2020-7071, CVE-2024-5458