检测

MagicLinux 3php-5.1.6-39.0.1.AXS3 (AXSA:2012-687:05)

high Nessus 插件 ID 283898

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程 MagicLinux 3 主机上存在安装的程序包该程序包受到 AXSA:2012-687:05 公告中提及的多个漏洞的影响。

 PHP 是一种 HTML 嵌入脚本语言允许开发人员编写动态生成的网页。PHP 内置集成了多个商业和非商业数据库管理系统,非常适合编写支持数据库的网站。PHP 通常被用作 CGI 脚本的替代品。
 php 程序包包含用于将对 PHP 语言的支持添加到 Apache HTTP Server 的模块。
 此版本修复的安全问题
 CVE-2011-4153 PHP 5.3.8 不会始终检查 zend_strndup 函数的返回值这可能允许远程攻击者通过对不受信任的字符串数据执行 strndup 操作的应用程序的构建输入造成拒绝服务空指针取消引用和应用程序崩溃由 zend_builtin_functions.c 中的 define 函数证实以及 ext/soap/php_sdl.c、ext/standard/syslog.c、ext/standard/browscap.c、ext/oci8/oci8.c、ext/ 中的不明函数com_dotnet/com_typeinfo.c 和 main/php_open_temporary_file.c。
 CVE-2012-00575.3.9 之前的 PHP 具有不当的 libxslt 安全设置其可允许远程攻击者通过使用 libxslt 输出扩展的构建的 XSLT 样式表创建任意文件。
 CVE-2012-0789 之前的 PHP 中的时区功能存在内存泄漏 5.3.9 允许远程攻击者通过触发多个未经 php_date_parse_tzfile 缓存正确处理的 strtotime 函数调用造成拒绝服务内存消耗。
 CVE-2012-1172 低于 5.4.0 的 PHP 中rfc1867.c 中的文件上传实现未正确处理名称值中无效的 [左方括号字符这使远程攻击者更容易造成拒绝服务畸形 $_FILES 索引) 或在多文件上传期间利用缺少文件名限制的脚本执行目录遍历攻击。
 CVE-2012-23365.3.13 之前的 PHP 和 5.4.x 之前的 5.4.3中的 sapi/cgi/cgi_main.c被配置为 CGI 脚本也称为 php-cgi 时未正确处理缺少 = 等号字符的查询字符串。这允许远程攻击者通过在查询字符串中放置命令行选项来造成拒绝服务资源消耗此问题与未跳过“T”案例的某个 php_getopt 相关。注意:存在此漏洞的原因是对 CVE-2012-1823 的修复不完整。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/3202

插件详情

严重性: High

ID: 283898

文件名: miracle_linux_AXSA-2012-687.nasl

版本: 1.2

类型: local

发布时间: 2026/1/14

最近更新时间: 2026/2/12

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.6

Vendor

Vendor Severity: High

CVSS v2

风险因素: Medium

基本分数: 6.4

时间分数: 5.6

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS 分数来源: CVE-2012-0057

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 7.2

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

时间矢量: CVSS:3.0/E:H/RL:O/RC:C

CVSS 分数来源: CVE-2012-2336

漏洞信息

CPE: p-cpe:/a:miracle:linux:php-xml, p-cpe:/a:miracle:linux:php-soap, p-cpe:/a:miracle:linux:php-snmp, p-cpe:/a:miracle:linux:php-bcmath, p-cpe:/a:miracle:linux:php-cli, p-cpe:/a:miracle:linux:php-pgsql, p-cpe:/a:miracle:linux:php-oci8, p-cpe:/a:miracle:linux:php-mysql, p-cpe:/a:miracle:linux:php, p-cpe:/a:miracle:linux:php-gd, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:php-ldap, p-cpe:/a:miracle:linux:php-devel, p-cpe:/a:miracle:linux:php-ncurses, p-cpe:/a:miracle:linux:php-odbc, p-cpe:/a:miracle:linux:php-dba, p-cpe:/a:miracle:linux:php-xmlrpc, p-cpe:/a:miracle:linux:php-imap, p-cpe:/a:miracle:linux:php-pdo, p-cpe:/a:miracle:linux:php-mbstring, p-cpe:/a:miracle:linux:php-common

必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2012/8/2

漏洞发布日期: 2011/12/18

参考资料信息

CVE: CVE-2011-4153, CVE-2012-0057, CVE-2012-0789, CVE-2012-1172, CVE-2012-2336

IAVB: 2013-B-0075-S