PHP 5.5.x < 5.5.16 多個弱點

medium Nessus Plugin ID 77403

語系：

概要

遠端 Web 伺服器使用受到多個弱點影響的 PHP 版本。

說明

根據其標題，遠端 Web 伺服器上執行的 PHP 版本為 5.5.16 之前的 5.5.x 版。因此，該應用程式受到以下弱點影響：

- LibGD 在其於「gdxpm.c」檔案的「gdImageCreateFromXpm」函式中包含 NULL 指標解除參照瑕疵。
透過使用特製的色彩對應，遠端攻擊者可引發拒絕服務。
(CVE-2014-2497)

- CVE-2013-7345 的原始上游修補程式並未提供完整解決方案。因此，遠端攻擊者仍可能部署特製的輸入檔案，導致在嘗試使用 awk 規則運算式規則偵測檔案類型時過度使用資源。如此可能造成拒絕服務的狀況。(CVE-2014-3538)

- 「cdf.c」檔案中存在一個整數溢位瑕疵。透過使用特製的 CDF 檔案，遠端攻擊者可引發拒絕服務。(CVE-2014-3587)

- 與「dns_get_record」和「dn_expand」函式有關之「dns.c」檔案中存在多個緩衝區溢位瑕疵。遠端攻擊者可使用特製的 DNS 記錄，利用這些瑕疵發動拒絕服務攻擊或執行任意程式碼。(CVE-2014-3597)

- 在「gd_ctx.c」檔案內的 GD 元件中存在多個瑕疵，其中使用者提供的輸入並未正確驗證以確保路徑名稱缺少 %00 序列。透過使用特製的輸入，遠端攻擊者可能會覆寫任意檔案。
(CVE-2014-5120)

請注意，Nessus 並未嘗試惡意利用這些問題，而是僅依據應用程式自我報告的版本號碼。