偵測

MiracleLinux 3php-5.1.6-23.2AXS3 (AXSA:2009-38:01)

medium Nessus Plugin ID 284127

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 3 主機已安裝受到 AXSA:2009-38:01 公告中所提及的多個弱點影響的套件。

 PHP 是內嵌 HTML 的指令碼語言。PHP 嘗試讓開發人員更容易撰寫動態產生的網頁。PHP 也提供適用於數個商業和非商業資料庫管理系統的內建資料庫整合因此使用 PHP 編寫資料庫啟用的網頁相當簡單。PHP 編碼最常見的用途可能是作為 CGI 指令碼的替代品。
 php 套件包含可將 PHP 語言支援新增至 Apache HTTP Server 的模組。
 修正的錯誤:
 CVE-2008-3658 在 PHP 4.4.x4.4.9 ] 之前的 和 PHP 5.2 5.2.6-r6 之前的 [] 中ext/gd/gd.c 的 imageloadfont 函式有緩衝區溢位允許內容相依的攻擊者造成拒絕服務 (當機) 並可能執行透過特製的字型檔案發動攻擊。
 CVE-2008-3660 之前的 PHP 4.4.x4.4.9以及 5.x 到 5.2.6做為 FastCGI 模組使用時可讓遠端攻擊者透過在延伸模組前加上多個點的要求造成拒絕服務 (當機)使用 foo 即為一例。 .php
 CVE-2008-5498 PHP 5.2.8 和更舊版本中imageRotate 函式的陣列索引錯誤允許內容相依的攻擊者透過已編制索引影像之第三個引數 (即 bgd_color 或 clrBack 引數) 的特製值讀取任意記憶體位置的內容。
 CVE-2008-5557 在 PHP 4.3.0 到 5.2.6 的 mbstring 延伸模組中ext/mbstring/libmbfl/filters/mbfilter_htmlent.c 存在的堆積型緩衝區溢位允許內容相依的攻擊者透過包含 HTML 實體 (現為在 Unicode 轉換期間未正確處理這與 (1) mb_convert_encoding、(2) mb_check_encoding、(3) mb_convert_variables 和 (4) mb_parse_str 函式有關。
 CVE-2008-5814 PHP (可能是 5.2.7 和更舊版本) 中的跨網站指令碼 (XSS) 弱點當 display_errors 啟用時允許遠端攻擊者透過不明向量插入任意 Web 指令碼或 HTML。注意:
 由於缺少詳細資料尚不清楚這是否與 CVE-2006-0208有關。
 CVE-2009-0754 PHP 4.4.4、 5.1.6和其他版本在 Apache 上執行時允許本機使用者透過修改 .htaccess 中的 mbstring.func_overload 設定修改相同 Web 伺服器上主控的其他網站的行為進而造成此設定已套用至相同伺服器上的其他虛擬主機。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/675

Plugin 詳細資訊

嚴重性: Medium

ID: 284127

檔案名稱: miracle_linux_AXSA-2009-38.nasl

版本: 1.1

類型: local

已發布: 2026/1/14

已更新: 2026/1/14

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

Vendor

Vendor Severity: High

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 7.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2008-5557

CVSS v3

風險因素: Medium

基本分數: 6.1

時間性分數: 5.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS 評分資料來源: CVE-2008-5814

弱點資訊

CPE: p-cpe:/a:miracle:linux:php-pgsql, p-cpe:/a:miracle:linux:php-pdo, p-cpe:/a:miracle:linux:php-mysql, p-cpe:/a:miracle:linux:php-xml, p-cpe:/a:miracle:linux:php, p-cpe:/a:miracle:linux:php-mbstring, p-cpe:/a:miracle:linux:php-gd, p-cpe:/a:miracle:linux:php-common, p-cpe:/a:miracle:linux:php-soap, p-cpe:/a:miracle:linux:php-bcmath, p-cpe:/a:miracle:linux:php-xmlrpc, p-cpe:/a:miracle:linux:php-ldap, p-cpe:/a:miracle:linux:php-cli, p-cpe:/a:miracle:linux:php-odbc, p-cpe:/a:miracle:linux:php-snmp, p-cpe:/a:miracle:linux:php-devel, p-cpe:/a:miracle:linux:php-dba, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:php-oci8, p-cpe:/a:miracle:linux:php-ncurses, p-cpe:/a:miracle:linux:php-imap

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2009/4/22

弱點發布日期: 2008/8/7

參考資訊

CVE: CVE-2008-3658, CVE-2008-3660, CVE-2008-5498, CVE-2008-5557, CVE-2008-5814, CVE-2009-0754