Fedora 21:php-5.6.8-1.fc21 (2015-6407)
high Nessus Plugin ID 83044
語系:
概要
遠端 Fedora 主機遺漏安全性更新。說明
2015 年 4 月 16 日,**PHP 5.6.8**核心:
- 已修正錯誤 #66609 (在某些案例中,__get() 和 ++ 運算子會造成 php 當機)。(Dmitry、Laruence)
- 修正錯誤 #68021 (get_browser() browser_name_regex 會傳回非 utf-8 字元)。(Tjerk)
- 修正錯誤 #68917 (parse_url 對部分 URL 會失敗)。(Wei Dai)
- 修正錯誤 #69134 (Per Directory Values 覆寫 PHP_INI_SYSTEM 組態選項)。(Anatol Belski)
- 錯誤 #69152 (exception::getTraceAsString 中的類型混淆弱點) 的其他修正。(Stas)
- 修正錯誤 #69210 (睡眠模式具有非字串值時,序列化函式會傳回損毀的資料)。(Juan Basso)
- 修正錯誤 #69212 (在 __call/... 引數傳遞過程中擲回例外狀況時會洩漏 VIA_HANDLER 函式)。(Nikita)
- 修正錯誤 #69221 (搭配 Iterator 使用產生器時會出現分割錯誤)。(Nikita)
- 修正錯誤 #69337 (php_stream_url_wrap_http_ex() 類型混淆弱點)。(Stas)
- 修正錯誤 #69353 (對於多種 PHP 延伸模組的路徑遺漏 null 位元組檢查)。(Stas)
Apache2handler:
- 已修正錯誤 #69218 (apache 2.4 apache2handler 可能導致遠端程式碼執行)。(Gerrit Venema)
cURL:
- 已實作 FR#69278 (HTTP2 支援)。(Masaki Kagaya)
- 修正錯誤 #68739 (遺漏中斷/控制流程)。
(Laruence)
- 修正錯誤 #69316 (php_curl 中有與 CURLOPT_FILE/_INFILE/_WRITEHEADER 相關的釋放後使用錯誤)。(Laruence)
日期:
- 已修正錯誤 #69336 (’last day of <monthname>’問題)。(Derick Rethans)
Enchant:
- 已修正錯誤 #65406 (Enchant broker 外掛程式在 Windows 版本中的安裝位置錯誤)。(Anatol)
Ereg:
- 已修正錯誤 #68740 (NULL 指標解除參照)。(Laruence)
Fileinfo:
- 已修正錯誤 #68819 (特定檔案上的 Fileinfo 會導致假性 OOM 和/或 segfault)。(Anatol Belski)
Filter:
- 修正錯誤 #69202:(除非使用其他旗標,否則 FILTER_FLAG_STRIP_BACKTICK 會遭到忽略)。(Jeff Welch)
- 修正錯誤 #69203 (FILTER_FLAG_STRIP_HIGH 不會去除 ASCII 127)。(Jeff Welch)
OPCache:
- 已修正錯誤 #69297 (針對停用的函式,OPCache 的 function_exists 會出現異常行為)。(Laruence)
- 修正錯誤 #69281 (opcache_is_script_cached 不再運作)。(danack)
- 修正錯誤 #68677 (釋放後使用錯誤)。(CVE-2015-1351) (Laruence)
OpenSSL
- 修正錯誤 #68853、#65137 (緩衝的密碼編譯資料流資料會中斷 stream_select() 內容中的 IO 輪詢) (Chris Wright)
- 修正錯誤 #69197 (openssl_pkcs7_sign 不正確處理預設值) (Daniel Lowrey)
- 修正錯誤 #69215 (密碼編譯伺服器應傳送用戶端 CA 清單) (Daniel Lowrey)
- 新增 RAND_egd 檢查,允許根據 LibreSSL 進行編譯 (Leigh)
Phar:
- 修正錯誤 #64343 (BSD tar 建立的 tarball 執行 PharData::extractTo 失敗)。(Mike)
- 修正錯誤 #64931 (phar_add_file 對於檔案名稱的限制太嚴格)。(Mike)
- 修正錯誤 #65467 (呼叫未定義的 cli_arg_typ_string 方法)。(Mike)
- 修正錯誤 #67761 (Phars 在含有「.tar」的路徑中執行 Phar::mapPhar 失敗)。(Mike)
- 修正錯誤 #69324 (剖析 Phar 時,unserialize 中有一個緩衝區過度讀取瑕疵)。(Stas)
- 修正錯誤 #69441 (剖析 phar_set_inode 中的 tar/zip/phar 時出現一個緩衝區溢位問題)。(Stas)
Postgres:
- 已修正錯誤 #68741 (NULL 指標解除參照)。
(CVE-2015-1352) (Laruence)
SPL:
- 已修正錯誤 #69227 (zval_scan 中有 spl_object_storage_get_gc 引起的釋放後使用錯誤)。([email protected])
SOAP:
- 已修正錯誤 #69293 (使用 SoapClient::__setSoapHeader 時會出現新的 segfault (平分、迴歸)。
(Laruence)
Sqlite3:
- 已修正錯誤 #68760 (如果自訂自動分頁器擲回例外狀況,就會出現 SQLITE segfault)。(Dan Ackroyd)
- 修正錯誤 #69287 (將隨附的 libsqlite 升級至 3.8.8.3 版)。(Anatol)
- 修正錯誤 #66550 (SQLite 準備好的陳述式出現釋放後使用錯誤)。(Sean Heelan)
請注意,Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
解決方案
更新受影響的 php 套件。另請參閱
https://bugzilla.redhat.com/show_bug.cgi?id=1185900
https://bugzilla.redhat.com/show_bug.cgi?id=1185904
https://bugzilla.redhat.com/show_bug.cgi?id=1213407
https://bugzilla.redhat.com/show_bug.cgi?id=1213411
https://bugzilla.redhat.com/show_bug.cgi?id=1213416
https://bugzilla.redhat.com/show_bug.cgi?id=1213442
Plugin 詳細資訊
嚴重性: High
ID: 83044
檔案名稱: fedora_2015-6407.nasl
版本: 2.10
類型: local
代理程式: unix
已發布: 2015/4/24
已更新: 2021/1/11
支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: High
基本分數: 7.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:fedoraproject:fedora:php, cpe:/o:fedoraproject:fedora:21
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
修補程式發佈日期: 2015/4/18
弱點發布日期: 2015/3/30
參考資訊
CVE: CVE-2015-1351, CVE-2015-1352, CVE-2015-2783
FEDORA: 2015-6407