Fedora 21:php-5.6.8-1.fc21 (2015-6407)

high Nessus Plugin ID 83044
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 Fedora 主機遺漏安全性更新。

描述

2015 年 4 月 16 日,**PHP 5.6.8**

核心:

- 已修正錯誤 #66609 (在某些案例中,__get() 和 ++ 運算子會造成 php 當機)。(Dmitry、Laruence)

- 修正錯誤 #68021 (get_browser() browser_name_regex 會傳回非 utf-8 字元)。(Tjerk)

- 修正錯誤 #68917 (parse_url 對部分 URL 會失敗)。(Wei Dai)

- 修正錯誤 #69134 (Per Directory Values 覆寫 PHP_INI_SYSTEM 組態選項)。(Anatol Belski)

- 錯誤 #69152 (exception::getTraceAsString 中的類型混淆弱點) 的其他修正。(Stas)

- 修正錯誤 #69210 (睡眠模式具有非字串值時,序列化函式會傳回損毀的資料)。(Juan Basso)

- 修正錯誤 #69212 (在 __call/... 引數傳遞過程中擲回例外狀況時會洩漏 VIA_HANDLER 函式)。(Nikita)

- 修正錯誤 #69221 (搭配 Iterator 使用產生器時會出現分割錯誤)。(Nikita)

- 修正錯誤 #69337 (php_stream_url_wrap_http_ex() 類型混淆弱點)。(Stas)

- 修正錯誤 #69353 (對於多種 PHP 延伸模組的路徑遺漏 null 位元組檢查)。(Stas)

Apache2handler:

- 已修正錯誤 #69218 (apache 2.4 apache2handler 可能導致遠端程式碼執行)。(Gerrit Venema)

cURL:

- 已實作 FR#69278 (HTTP2 支援)。(Masaki Kagaya)

- 修正錯誤 #68739 (遺漏中斷/控制流程)。
(Laruence)

- 修正錯誤 #69316 (php_curl 中有與 CURLOPT_FILE/_INFILE/_WRITEHEADER 相關的釋放後使用錯誤)。(Laruence)

日期:

- 已修正錯誤 #69336 (’last day of <monthname>’問題)。(Derick Rethans)

Enchant:

- 已修正錯誤 #65406 (Enchant broker 外掛程式在 Windows 版本中的安裝位置錯誤)。(Anatol)

Ereg:

- 已修正錯誤 #68740 (NULL 指標解除參照)。(Laruence)

Fileinfo:

- 已修正錯誤 #68819 (特定檔案上的 Fileinfo 會導致假性 OOM 和/或 segfault)。(Anatol Belski)

Filter:

- 修正錯誤 #69202:(除非使用其他旗標,否則 FILTER_FLAG_STRIP_BACKTICK 會遭到忽略)。(Jeff Welch)

- 修正錯誤 #69203 (FILTER_FLAG_STRIP_HIGH 不會去除 ASCII 127)。(Jeff Welch)

OPCache:

- 已修正錯誤 #69297 (針對停用的函式,OPCache 的 function_exists 會出現異常行為)。(Laruence)

- 修正錯誤 #69281 (opcache_is_script_cached 不再運作)。(danack)

- 修正錯誤 #68677 (釋放後使用錯誤)。(CVE-2015-1351) (Laruence)

OpenSSL

- 修正錯誤 #68853、#65137 (緩衝的密碼編譯資料流資料會中斷 stream_select() 內容中的 IO 輪詢) (Chris Wright)

- 修正錯誤 #69197 (openssl_pkcs7_sign 不正確處理預設值) (Daniel Lowrey)

- 修正錯誤 #69215 (密碼編譯伺服器應傳送用戶端 CA 清單) (Daniel Lowrey)

- 新增 RAND_egd 檢查,允許根據 LibreSSL 進行編譯 (Leigh)

Phar:

- 修正錯誤 #64343 (BSD tar 建立的 tarball 執行 PharData::extractTo 失敗)。(Mike)

- 修正錯誤 #64931 (phar_add_file 對於檔案名稱的限制太嚴格)。(Mike)

- 修正錯誤 #65467 (呼叫未定義的 cli_arg_typ_string 方法)。(Mike)

- 修正錯誤 #67761 (Phars 在含有「.tar」的路徑中執行 Phar::mapPhar 失敗)。(Mike)

- 修正錯誤 #69324 (剖析 Phar 時,unserialize 中有一個緩衝區過度讀取瑕疵)。(Stas)

- 修正錯誤 #69441 (剖析 phar_set_inode 中的 tar/zip/phar 時出現一個緩衝區溢位問題)。(Stas)

Postgres:

- 已修正錯誤 #68741 (NULL 指標解除參照)。
(CVE-2015-1352) (Laruence)

SPL:

- 已修正錯誤 #69227 (zval_scan 中有 spl_object_storage_get_gc 引起的釋放後使用錯誤)。([email protected])

SOAP:

- 已修正錯誤 #69293 (使用 SoapClient::__setSoapHeader 時會出現新的 segfault (平分、迴歸)。
(Laruence)

Sqlite3:

- 已修正錯誤 #68760 (如果自訂自動分頁器擲回例外狀況,就會出現 SQLITE segfault)。(Dan Ackroyd)

- 修正錯誤 #69287 (將隨附的 libsqlite 升級至 3.8.8.3 版)。(Anatol)

- 修正錯誤 #66550 (SQLite 準備好的陳述式出現釋放後使用錯誤)。(Sean Heelan)

請注意,Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

更新受影響的 php 套件。

另請參閱

https://bugzilla.redhat.com/show_bug.cgi?id=1185900

https://bugzilla.redhat.com/show_bug.cgi?id=1185904

https://bugzilla.redhat.com/show_bug.cgi?id=1213407

https://bugzilla.redhat.com/show_bug.cgi?id=1213411

https://bugzilla.redhat.com/show_bug.cgi?id=1213416

https://bugzilla.redhat.com/show_bug.cgi?id=1213442

https://bugzilla.redhat.com/show_bug.cgi?id=1213446

http://www.nessus.org/u?7e19a0be

Plugin 詳細資訊

嚴重性: High

ID: 83044

檔案名稱: fedora_2015-6407.nasl

版本: 2.10

類型: local

代理程式: unix

已發布: 2015/4/24

已更新: 2021/1/11

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 7.5

媒介: AV:N/AC:L/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:fedoraproject:fedora:php, cpe:/o:fedoraproject:fedora:21

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

修補程式發佈日期: 2015/4/18

弱點發布日期: 2015/3/30

參考資訊

CVE: CVE-2015-1351, CVE-2015-1352, CVE-2015-2783

FEDORA: 2015-6407