MagicLinux 4php-5.3.2-6.AXS4.1 (AXSA:2011-39:01)

high Nessus 插件 ID 283939

语言：

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程MiracleLinux 4 主机上存在安装的程序包该程序包受到公告 AXSA:2011-39:01 中提及的多个漏洞的影响。

PHP 是一种 HTML 嵌入脚本语言。PHP 试图让开发人员轻松编写动态生成的网页。PHP 还为多个商业和非商业数据库管理系统提供内置数据库集成因此使用 PHP 编写启用数据库的网页相当简单。PHP 编码最常见的用途可能是替换 CGI 脚本。
php 程序包包含可为 Apache HTTP 服务器添加 PHP 语言支持的模块。
此版本修复的安全问题
CVE-2009-50165.2.11 之前的 PHP 中 ext/xml/xml.c 内 xml_utf8_decode 函数内的整数溢出可使远程攻击者更容易通过使用超长 UTF- 序列的构建字符串绕过跨站脚本 (XSS) 和 SQL 注入保护机制。 8 编码此漏洞与 CVE-2010-3870不同。
CVE-2010-3709 PHP 5.2.x 到 5.2.14 和 5.3.x ] 到 5.3.3 中的 ZipArchive::getArchiveComment 函数允许上下文有关的攻击者通过特制的 ZIP 存档造成拒绝服务空指针取消引用和应用程序崩溃。
CVE-2010-38705.3.4 之前的 PHP 中的 utf8_decode 函数未正确处理非最短形式 UTF-8 编码和 UTF-8 数据中的错误格式子序列从而使远程攻击者更容易绕过跨站脚本 (XSS) 和通过构建的字符串进行的 SQL 注入保护机制。
CVE-2010-4645 在 PHP 5.2 之前的 PHP [ 5.2.17 和 5.35.3.5之前的 ] 的 zend_strtod 函数中使用 strtod.c 时上下文有关的攻击者可通过特定的浮动字节造成拒绝服务无限循环以科学计数法表示的点值未在 x87 FPU 寄存器中正确处理。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/1718

插件详情

严重性: High

ID: 283939

文件名: miracle_linux_AXSA-2011-39.nasl

版本: 1.1

类型: Local

系列: Miracle Linux Local Security Checks

发布时间: 2026/1/14

最近更新时间: 2026/1/14

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

Vendor

Vendor Severity: High

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2010-3870

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2010-4645

漏洞信息

CPE: p-cpe:/a:miracle:linux:php-pgsql, p-cpe:/a:miracle:linux:php-pdo, p-cpe:/a:miracle:linux:php-mysql, p-cpe:/a:miracle:linux:php-xml, p-cpe:/a:miracle:linux:php, p-cpe:/a:miracle:linux:php-gd, p-cpe:/a:miracle:linux:php-common, p-cpe:/a:miracle:linux:php-soap, p-cpe:/a:miracle:linux:php-xmlrpc, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:php-ldap, p-cpe:/a:miracle:linux:php-cli, p-cpe:/a:miracle:linux:php-odbc

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2011/2/15

漏洞发布日期: 2009/5/11

参考资料信息

CVE: CVE-2009-5016, CVE-2010-3709, CVE-2010-3870, CVE-2010-4645