检测

MagicLinux 3php-5.1.6-24.5.1.AXS3 (AXSA:2010-78:01)

medium Nessus 插件 ID 283975

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程iraclelinux 3 主机上存在安装的程序包该程序包受到 AXSA:2010-78:01 公告中提及的多个漏洞的影响。

 PHP 是一种 HTML 嵌入脚本语言。PHP 试图让开发人员轻松编写动态生成的网页。PHP 还为多个商业和非商业数据库管理系统提供内置数据库集成因此使用 PHP 编写启用数据库的网页相当简单。PHP 编码最常见的用途可能是替换 CGI 脚本。
 php 程序包包含可为 Apache HTTP 服务器添加 PHP 语言支持的模块。
 此版本修复的安全问题
 CVE-2009-2687 低于 5.2.10 的 PHP 中 Exif 模块的 exif_read_data 函数允许远程攻击者通过具有无效偏移字段的畸形 JPEG 图像造成拒绝服务崩溃此问题与 CVE-2005-3353不同。
 CVE-2009-32915.2.11 之前的 PHP 中的 php_openssl_apply_verification_policy 函数未正确执行证书验证其具有不明影响与攻击矢量可能与欺骗证书的能力有关。
 CVE-2009-3292 之前的 5.2.11PHP以及 5.3.x5.3.1之前的 PHP 中的不明漏洞具有与“缺少关于 exif 处理的健全性检查”相关的不明影响和攻击矢量。 CVE-2009-3546 在 5.3.x [] 之前的 PHP [] 和 5.3.1以及 5.2.11 GD图形库 2.x中gd_gd.c 中的 _gdGetColors 函数未正确验证某个 colorsTotal 结构成员这可能允许远程攻击者执行缓冲区溢出或缓冲区溢出通过构建的 GD 文件发起的 -read 攻击此漏洞与 CVE-2009-3293不同。注意:这些详细信息中的一部分获取自第三方信息。
 CVE-2009-4017 PHP 之前的 5.2.12 和 5.3.x 之前的 5.3.1 版本不会限制在处理 multipart/form-data POST 请求时创建的临时文件数量其允许远程攻击者造成拒绝服务资源耗尽并使其远程攻击者更容易通过多个请求利用与缺少 max_file_uploads 指令支持相关的本地文件包含漏洞。
 CVE-2009-41425.2.12 之前的 PHP 中的 htmlspecialchars 函数未正确处理 (1) 过长的 UTF-8 序列、(2) 无效 Shift_JIS 序列和 (3) 无效 EUC-JP 序列允许远程攻击者执行跨站脚本通过在特殊字符之前放置构建的字节序列进行的 (XSS) 攻击。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/1232

插件详情

严重性: Medium

ID: 283975

文件名: miracle_linux_AXSA-2010-78.nasl

版本: 1.1

类型: local

发布时间: 2026/1/14

最近更新时间: 2026/1/14

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

Vendor

Vendor Severity: High

CVSS v2

风险因素: High

基本分数: 9.3

时间分数: 7.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2009-3546

CVSS v3

风险因素: Medium

基本分数: 6.1

时间分数: 5.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2009-4142

漏洞信息

CPE: p-cpe:/a:miracle:linux:php-mysql, p-cpe:/a:miracle:linux:php, p-cpe:/a:miracle:linux:php-xmlrpc, p-cpe:/a:miracle:linux:php-common, p-cpe:/a:miracle:linux:php-odbc, p-cpe:/a:miracle:linux:php-pgsql, p-cpe:/a:miracle:linux:php-oci8, p-cpe:/a:miracle:linux:php-snmp, p-cpe:/a:miracle:linux:php-pdo, p-cpe:/a:miracle:linux:php-ldap, p-cpe:/a:miracle:linux:php-devel, p-cpe:/a:miracle:linux:php-mbstring, p-cpe:/a:miracle:linux:php-soap, p-cpe:/a:miracle:linux:php-cli, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:php-ncurses, p-cpe:/a:miracle:linux:php-imap, p-cpe:/a:miracle:linux:php-bcmath, p-cpe:/a:miracle:linux:php-gd, p-cpe:/a:miracle:linux:php-dba, p-cpe:/a:miracle:linux:php-xml

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2010/1/28

漏洞发布日期: 2009/6/18

参考资料信息

CVE: CVE-2009-2687, CVE-2009-3291, CVE-2009-3292, CVE-2009-3546, CVE-2009-4017, CVE-2009-4142