Debian DSA-3008-1:php5 - 安全性更新
medium Nessus Plugin ID 77307
語系:
概要
遠端 Debian 主機缺少安全性更新。說明
在 PHP 中發現多個弱點,PHP 是常用於 web 應用程式開發的一般用途指令碼語言。Common Vulnerabilities and Exposures 專案發現下列問題:- CVE-2014-3538 據發現,CVE-2013-7345 的原始修正未充分解決問題。
遠端攻擊者可能仍然會在處理 awk 規則運算式規則期間,透過可觸發回溯的特製輸入檔案,造成拒絕服務 (CPU 消耗)。
- CVE-2014-3587 據發現,fileinfo 模組的 CDF 剖析器未正確處理 Composite Document File (CDF) 格式之格式錯誤的檔案,進而導致當機。
- CVE-2014-3597 據發現,CVE-2014-4049 的原始修正未完全解決問題。惡意伺服器或攔截式攻擊者可造成拒絕服務 (當機),而且可能會透過特製的 DNS TXT 記錄,執行任意程式碼。
- CVE-2014-4670 據發現,PHP 並未正確處理特定 SPL 迭代器。本機攻擊者可利用此瑕疵造成 PHP 損毀,進而導致拒絕服務。
解決方案
升級 php5 套件。針對穩定的發行版本 (wheezy),這些問題已在 5.4.4-14+deb7u13 版本中修正。此外,此更新包含最初目標為即將到來的 Wheezy 點版本的數個錯誤修正。
另請參閱
https://security-tracker.debian.org/tracker/CVE-2014-3538
https://security-tracker.debian.org/tracker/CVE-2013-7345
https://security-tracker.debian.org/tracker/CVE-2014-3587
https://security-tracker.debian.org/tracker/CVE-2014-3597
https://security-tracker.debian.org/tracker/CVE-2014-4049
https://security-tracker.debian.org/tracker/CVE-2014-4670
Plugin 詳細資訊
嚴重性: Medium
ID: 77307
檔案名稱: debian_DSA-3008.nasl
版本: 1.13
類型: local
代理程式: unix
已發布: 2014/8/22
已更新: 2021/1/11
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Medium
基本分數: 6.8
時間分數: 5
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:debian:debian_linux:php5, cpe:/o:debian:debian_linux:7.0
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2014/8/21
參考資訊
CVE: CVE-2014-3538, CVE-2014-3587, CVE-2014-3597, CVE-2014-4670
DSA: 3008