偵測

MiracleLinux 4php-5.3.3-40.AXS4 (AXSA:2014-701:04)

medium Nessus Plugin ID 289663

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 4 主機已安裝受到多個弱點影響的套件如 AXSA:2014-701:04 公告中所提及。

 描述:
 PHP 是內嵌 HTML 的指令碼語言。PHP 嘗試讓開發人員更容易撰寫動態產生的網頁。PHP 也提供適用於數個商業和非商業資料庫管理系統的內建資料庫整合因此使用 PHP 編寫資料庫啟用的網頁相當簡單。PHP 編碼最常見的用途可能是作為 CGI 指令碼的替代品。
 php 套件包含可將 PHP 語言支援新增至 Apache HTTP Server 的模組。
 此版本修正的安全性問題
 CVE-2014-3668 在 [] 之前的 5.4.34之前的 5.5.x 和 5.5.18之前的 5.6.25.6.x 之前的 PHP 中libxmlrpc/xmlrpc.c 的 mkgmtime 實作內 date_from_ISO8601 函式內的緩衝區溢位允許遠端攻擊者造成拒絕服務 ( (1) xmlrpc_set_type 函式的特製第一個引數或 (2) xmlrpc_decode 函式的特製引數造成應用程式損毀這與超出邊界讀取作業有關。
 CVE-2014-3669 在 5.4.34之前的 [] 之前的 5.5.185.5.x 以及 5.6.x 之前的 5.6.2 中的 PHP ext/standard/var_unserializer.c 的 object_custom 函式中有整數溢位允許遠端攻擊者造成拒絕服務 (應用程式損毀) 或可能執行透過 unserialize 函式的引數觸發大長度值的計算。
 CVE-2014-3670 在 PHP 5.4.34之前的版本、 5.5.x 之前的 5.5.18以及 5.6.x 之前的 5.6.2 之前的版本中exif.c 的 exif_ifd_make_value 函式未正確在浮點陣列上運作進而允許遠端攻擊者造成拒絕服務 (堆積記憶體損毀和應用程式損毀) 或可能透過具有 TIFF 縮圖資料 (未由 exif_thumbnail 函式正確處理) 的特製 JPEG 影像執行任意程式碼。
 CVE-2014-3710
 ** 保留 ** 此候選編號已由宣佈新安全性問題時將使用該編號的組織或個人所保留。當候選編號公佈時,將會提供此候選編號的詳細資料。
 修正的錯誤:
 * 之前即使準備好的陳述式仍然存在mysql 連結也可能會關閉。因此執行這些陳述式會造成分割錯誤。透過此更新 可修正此問題。
 * 之前soap 呼叫缺少主機 HTTP 標頭。因此HTTP 要求與 RFC2616 不相容。透過此更新 可修正此問題。
 * 之前php 套件包含一個與 oci_lob_load() 函式有關的錯誤。因此編譯 php OCI8 模組失敗。透過此更新 可修正此問題。
 * 之前php 套件缺少工作階段延伸模組與 Spl 延伸模組的相依性。
 因此Spl 在 Session 之前未初始化導致無法使用自動載入功能。透過此更新 可修正此問題。
 * 之前php 套件在非靜態方法中的靜態呼叫行為中含有不一致的情況。因此來自非靜態方法內內容類別 (名稱、靜態或自我) 的呼叫會導致靜態呼叫。透過此更新 可修正此問題。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/5161

Plugin 詳細資訊

嚴重性: Medium

ID: 289663

檔案名稱: miracle_linux_AXSA-2014-701.nasl

版本: 1.1

類型: local

已發布: 2026/1/16

已更新: 2026/1/16

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

Vendor

Vendor Severity: High

CVSS v2

風險因素: High

基本分數: 7.5

時間性分數: 5.9

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2014-3669

CVSS v3

風險因素: Medium

基本分數: 5.5

時間性分數: 5

媒介: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS 評分資料來源: CVE-2014-3710

弱點資訊

CPE: p-cpe:/a:miracle:linux:php-pgsql, p-cpe:/a:miracle:linux:php-pdo, p-cpe:/a:miracle:linux:php-mysql, p-cpe:/a:miracle:linux:php-xml, p-cpe:/a:miracle:linux:php, p-cpe:/a:miracle:linux:php-mbstring, p-cpe:/a:miracle:linux:php-gd, p-cpe:/a:miracle:linux:php-common, p-cpe:/a:miracle:linux:php-soap, p-cpe:/a:miracle:linux:php-bcmath, p-cpe:/a:miracle:linux:php-xmlrpc, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:php-ldap, p-cpe:/a:miracle:linux:php-cli, p-cpe:/a:miracle:linux:php-odbc

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2014/11/4

弱點發布日期: 2014/10/14

參考資訊

CVE: CVE-2014-3668, CVE-2014-3669, CVE-2014-3670, CVE-2014-3710