检测

MagicLinux 4php-5.3.3-27.AXS4 (AXSA:2014-029:01)

critical Nessus 插件 ID 290123

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程iraclelinux 4 主机上存在安装的程序包该程序包受到 AXSA:2014-029:01 公告中提及的多个漏洞的影响。

 PHP 是一种 HTML 嵌入脚本语言。PHP 试图让开发人员轻松编写动态生成的网页。PHP 还为多个商业和非商业数据库管理系统提供内置数据库集成因此使用 PHP 编写启用数据库的网页相当简单。PHP 编码最常见的用途可能是替换 CGI 脚本。
 php 程序包包含可为 Apache HTTP 服务器添加 PHP 语言支持的模块。
 此版本修复的安全问题
 CVE-2006-72435.3.4 之前的 PHP 接受路径名中的字符这可允许上下文有关的攻击者通过在此字符后放置安全的文件扩展名来绕过预期访问限制PHP 参数末尾的 .php.jpg 即为一例。 file_exists 函数。
 CVE-2013-16435.3.23 允许远程攻击者通过包含 XML 外部实体声明以及实体引用的 5.4.x SOAP WSDL 文件来读取任意文件此问题与 XML 外部实体 (XXE) 相关 5.4.13 。 soap_xmlParseFile 和 soap_xmlParseMemory 函数中的问题。注意:此漏洞是由于对 CVE-2013-1824 的修复不正确导致的。
 CVE-2013-4248 在 5.4.18 之前的 PHP 和 5.5.25.5.x 之前的 PHP 中OpenSSL 模块内 openssl.c 的 openssl_x509_parse 函数未正确处理 X.509 证书的 Subject Alternative Name 字段中域名的“”字符允许中间人攻击者通过由合法证书颁发机构颁发的构建的证书欺骗任意 SSL 服务器此问题与 CVE-2009-2408有关。
 修复的缺陷:
 以前如果禁用 allow_call_time_pass_reference 设置则 Apache 服务器上的虚拟主机可能会崩溃。此问题已得到修复。
 以前fclose()、file_put_contents() 或 copy() 函数不会报告其错误可能会造成数据丢失。此问题已得到修复并且它们现在报告任何错误 以前当某些调用超过 SQLSTATE 错误代码的内部缓冲区的 5 个字符限制时会发生缓冲区溢出。此问题已得到修复长度超过 5 个字符的消息已替换为默认的 HY000 字符串。
 增强:
 将以下 rpm 宏添加到 php 程序包%__php、%php_inidir、%php_incldir。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/4495

插件详情

严重性: Critical

ID: 290123

文件名: miracle_linux_AXSA-2014-029.nasl

版本: 1.1

类型: local

发布时间: 2026/1/16

最近更新时间: 2026/1/16

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

Vendor

Vendor Severity: High

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.9

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS 分数来源: CVE-2013-1643

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2006-7243

漏洞信息

CPE: p-cpe:/a:miracle:linux:php-pgsql, p-cpe:/a:miracle:linux:php-pdo, p-cpe:/a:miracle:linux:php-mysql, p-cpe:/a:miracle:linux:php-xml, p-cpe:/a:miracle:linux:php, p-cpe:/a:miracle:linux:php-mbstring, p-cpe:/a:miracle:linux:php-gd, p-cpe:/a:miracle:linux:php-common, p-cpe:/a:miracle:linux:php-soap, p-cpe:/a:miracle:linux:php-bcmath, p-cpe:/a:miracle:linux:php-xmlrpc, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:php-ldap, p-cpe:/a:miracle:linux:php-cli, p-cpe:/a:miracle:linux:php-odbc

必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2014/3/18

漏洞发布日期: 2006/12/18

参考资料信息

CVE: CVE-2006-7243, CVE-2013-1643, CVE-2013-4248