Fedora 20:php-5.5.21-1.fc20 (2015-1101)

high Nessus Plugin ID 81191

概要

遠端 Fedora 主機遺漏安全性更新。

說明

2014 年 1 月 22 日,PHP 5.5.21

核心:

- 將 crypt_blowfish 升級至 1.3 版。(Leigh)

- 已修正錯誤 #60704 (部分檔案路徑的 unlink() 錯誤)。

- 已修正錯誤 #65419 (內部特性,self::class !=
__CLASS__)。(Julien)

- 已修正錯誤 #65576 (繼承建構函式之特性衝突的建構函式)。([email protected])

- 已修正錯誤 #55541 (錯誤造成 MessageBox,從而封鎖測試自動化)。(Anatol)

- 已修正錯誤 #68297 (應用程式 Popup 提供的資訊太少)。(Anatol)

- 已修正錯誤 #65769 (TS 版本中 localeconv() 損毀)。
(Anatol)

- 已修正錯誤 #65230 (設定地區隨機損毀)。
(Anatol)

- 已修正錯誤 #66764 (設定未正確定義 EXPANDED_DATADIR / PHP_DATADIR)。(Ferenc)

- 已修正錯誤 #68583 (逾時執行緒中發生損毀)。(Anatol)

- 已修正錯誤 #68676 (明確重複釋放)。(Kalle)

- 已修正錯誤 #68710 (PHP 的 unserialize() 中有釋放後使用弱點)。(CVE-2015-0231) (Stefan Esser)

CGI:

- 修正錯誤 #68618 (超出邊界讀取造成 php-cgi 損毀)。(CVE-2014-9427) (Stas)

CLI 伺服器:

- 已修正錯誤 #68745 (無效的 HTTP 要求導致 Web 伺服器 segfault)。(Adam)

cURL:

- 已修正錯誤 #67643 (未設定 CURLOPT_RETURNTRANSFER 時 curl_multi_getcontent 傳回 ')。(Jille Timmermans)

EXIF:

- 已修正錯誤 #68799:在未初始化指標上呼叫了釋放函式。
(CVE-2015-0232) (Stas)

Fileinfo:

- 已修正錯誤 #68671 (libmagic 中的不正確運算式)。
(Joshua Rogers、Anatol Belski)

- 已從 libmagic 來源中移除 readelf.c 和相關程式碼 (Remi、Anatol)

- 已修正錯誤 #68735 (fileinfo 超出邊界記憶體存取)。(Anatol)

FPM:

- 已修正錯誤 #68751 (listen.allowed_clients 損毀)。
(Remi)

GD:

- 已修正錯誤 #68601 (gd_gif_in.c 中的緩衝區讀取溢位)。
(Jan Bee、Remi)

Mbstring:

- 已修正錯誤 #68504 (--with-libmbfl 設定選項沒有在 Windows 上顯示)。(Ashesh Vashi)

Mcrypt:

- 修正可能的超出緩衝區結尾讀取和釋放後使用錯誤。(Dmitry)

Opcache:

- 已修正錯誤 #67111 (在兩個 foreach 迴圈內使用 'continue 2’ 時,發生記憶體洩漏)。(Nikita)

OpenSSL:

- 已修正錯誤 #55618 (使用不區分大小寫的憑證名稱比對)。(Daniel Lowrey)

Pcntl:

- 已修正錯誤 #60509 (設定 SIG_DFL 時 pcntl_signal 未減少舊處置程式的參照計數)。(Julien)

PCRE:

- 已修正錯誤 #66679 (PCRE 8.34 上游中的對齊錯誤)。
(Rainer Jung、Anatol Belski)

pgsql:

- 已修正錯誤 #68697 (失敗時 lo_export 傳回 -1)。
(Ondrej Sury)

PDO:

- 修正錯誤 #68371 (無法呼叫包含平台特定屬性名稱的 PDO#getAttribute())。(Matteo)

PDO_mysql:

- 已修正錯誤 #68424 (新增 PDO mysql 連線屬性以控制多重陳述式選項)。([email protected])

SPL:

- 已修正錯誤 #66405 (RecursiveDirectoryIterator::CURRENT_AS_PATHNAME 中斷了 RecursiveIterator)。(Paul Garvin)

- 修正錯誤 #65213 (無法將 SplFileInfo 轉換為布林值) (Tjerk)

- 已修正錯誤 #68479 (已將逸出參數新增至 SplFileObject::fputcsv)。(Salathe)

SQLite:

- 已修正錯誤 #68120 (將隨附的 libsqlite 更新至 3.8.7.2)。
(Anatol)

資料流:

- 已修正錯誤 #68532 (convert.base64-encode 忽略填補位元組)。([email protected])

請注意,Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

更新受影響的 php 套件。

另請參閱

https://bugzilla.redhat.com/show_bug.cgi?id=1178736

https://bugzilla.redhat.com/show_bug.cgi?id=1185397

https://bugzilla.redhat.com/show_bug.cgi?id=1185472

http://www.nessus.org/u?88137ef8

Plugin 詳細資訊

嚴重性: High

ID: 81191

檔案名稱: fedora_2015-1101.nasl

版本: 1.14

類型: local

代理程式: unix

已發布: 2015/2/6

已更新: 2021/1/11

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:fedoraproject:fedora:php, cpe:/o:fedoraproject:fedora:20

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

修補程式發佈日期: 2015/1/25

弱點發布日期: 2014/12/20

參考資訊

CVE: CVE-2014-8142, CVE-2014-9427, CVE-2015-0231, CVE-2015-0232

FEDORA: 2015-1101