PHP 5.5.x < 5.5.13「src/cdf.c」多個弱點

medium Nessus Plugin ID 74292

Synopsis

遠端 Web 伺服器使用受到多個弱點影響的 PHP 版本。

描述

根據其標題,遠端主機上安裝的 PHP 5.5.x 版比 5.5.13 舊。因此受到以下弱點影響:

- 「src/cdf.c」內的「cdf_unpack_summary_info()」函式中存有瑕疵,處理特製的 CDF 檔案時會發生多個 file_printf 呼叫。
這可導致內容相依的攻擊者使用 PHP 損毀 Web 應用程式。(CVE-2014-0237)

-「src/cdf.c」內的「cdf_read_property_info()」函式中存有瑕疵,處理特製的 CDF 檔案時會發生無限迴圈。這可導致內容相依的攻擊者使用 PHP 損毀 Web 應用程式。(CVE-2014-0238)
- printf 中存在超出範圍讀取。(錯誤 #67249)。

請注意,Nessus 並未嘗試惡意利用這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級為 PHP 5.5.13 或更新版本。

另請參閱

http://www.php.net/ChangeLog-5.php#5.5.13

https://bugs.php.net/bug.php?id=67327

https://bugs.php.net/bug.php?id=67328

Plugin 詳細資訊

嚴重性: Medium

ID: 74292

檔案名稱: php_5_5_13.nasl

版本: 1.6

類型: remote

系列: CGI abuses

已發布: 2014/6/3

已更新: 2022/4/11

組態: 啟用徹底檢查

風險資訊

VPR

風險因素: Medium

分數: 5.1

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 3.7

媒介: AV:N/AC:L/Au:N/C:N/I:N/A:P

時間媒介: E:U/RL:OF/RC:C

弱點資訊

CPE: cpe:/a:php:php

必要的 KB 項目: www/PHP

可輕鬆利用: No exploit is required

修補程式發佈日期: 2014/5/29

弱點發布日期: 2014/5/22

參考資訊

CVE: CVE-2014-0237, CVE-2014-0238

BID: 67759, 67765, 69271