偵測

MiracleLinux 3php-5.1.6-24.5.1.AXS3 (AXSA:2010-78:01)

medium Nessus Plugin ID 283975

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 3 主機已安裝受到多個弱點影響的套件如 AXSA:2010-78:01 公告中所提及。

 PHP 是內嵌 HTML 的指令碼語言。PHP 嘗試讓開發人員更容易撰寫動態產生的網頁。PHP 也提供適用於數個商業和非商業資料庫管理系統的內建資料庫整合因此使用 PHP 編寫資料庫啟用的網頁相當簡單。PHP 編碼最常見的用途可能是作為 CGI 指令碼的替代品。
 php 套件包含可將 PHP 語言支援新增至 Apache HTTP Server 的模組。
 此版本修正的安全性問題
 CVE-2009-26875.2.10 之前版本的 PHP 中 Exif 模組的 exif_read_data 函式允許遠端攻擊者透過含有無效位移欄位的格式錯誤之 JPEG 影像造成拒絕服務 (當機)此問題與 CVE-2005-3353不同。
 CVE-2009-32915.2.11 之前的 PHP 中的 php_openssl_apply_verification_policy 函式未正確執行憑證驗證這會造成不明影響和攻擊向量這可能與偽造憑證的能力有關。
 CVE-2009-3292 在 5.2.11之前的 PHP 及 5.3.x 之前的 5.3.1中的不明弱點具有與「exif 處理時缺少功能健全檢查」相關的未知影響和攻擊向量。 CVE-2009-3546 在 PHP 5.2.11 和 5.3.x 之前的 5.3.1中以及 GD 圖庫 2.x中 gd_gd.c 的 _gdGetColors 函式未正確驗證特定 colorsTotal 結構成員其可允許遠端攻擊者進行緩衝區溢位或緩衝區溢位- 透過特製 GD 檔案發動的讀取攻擊此弱點不同於 CVE-2009-3293。注意: 上述詳細資料中有部分是來自第三方資訊。
 CVE-2009-40175.2.12 之前的 PHP 和 5.3.x 之前的 5.3.1 未限制在處理 multipart/form-data POST 要求時建立的暫存檔數目這可讓遠端攻擊者造成拒絕服務 (資源耗盡)並造成遠端攻擊者更容易透過多個要求惡意利用本機檔案包含弱點此弱點與缺少對 max_file_uploads 指示詞的支援相關。
 CVE-2009-4142 在 5.2.12 之前的 PHP 中htmlspecialchars 函式未正確處理 (1) 過長的 UTF-8 序列、(2) 無效的 Shift_JIS 序列以及 (3) 無效的 EUC-JP 序列進而允許遠端攻擊者進行跨網站指令碼(XSS) 攻擊者可在特殊字元前放置特製的位元組序列。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/1232

Plugin 詳細資訊

嚴重性: Medium

ID: 283975

檔案名稱: miracle_linux_AXSA-2010-78.nasl

版本: 1.1

類型: local

已發布: 2026/1/14

已更新: 2026/1/14

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

Vendor

Vendor Severity: High

CVSS v2

風險因素: High

基本分數: 9.3

時間性分數: 7.3

媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2009-3546

CVSS v3

風險因素: Medium

基本分數: 6.1

時間性分數: 5.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS 評分資料來源: CVE-2009-4142

弱點資訊

CPE: p-cpe:/a:miracle:linux:php-mysql, p-cpe:/a:miracle:linux:php, p-cpe:/a:miracle:linux:php-xmlrpc, p-cpe:/a:miracle:linux:php-common, p-cpe:/a:miracle:linux:php-odbc, p-cpe:/a:miracle:linux:php-pgsql, p-cpe:/a:miracle:linux:php-oci8, p-cpe:/a:miracle:linux:php-snmp, p-cpe:/a:miracle:linux:php-pdo, p-cpe:/a:miracle:linux:php-ldap, p-cpe:/a:miracle:linux:php-devel, p-cpe:/a:miracle:linux:php-mbstring, p-cpe:/a:miracle:linux:php-soap, p-cpe:/a:miracle:linux:php-cli, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:php-ncurses, p-cpe:/a:miracle:linux:php-imap, p-cpe:/a:miracle:linux:php-bcmath, p-cpe:/a:miracle:linux:php-gd, p-cpe:/a:miracle:linux:php-dba, p-cpe:/a:miracle:linux:php-xml

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2010/1/28

弱點發布日期: 2009/6/18

參考資訊

CVE: CVE-2009-2687, CVE-2009-3291, CVE-2009-3292, CVE-2009-3546, CVE-2009-4017, CVE-2009-4142