Mandriva Linux 安全公告:php (MDVSA-2014:115)

medium Nessus 插件 ID 74448

简介

远程 Mandriva Linux 主机缺少一个或多个安全更新。

描述

更新后的 php 程序包修复了安全漏洞:

在文件的复合文档文件 (CDF) 格式解析器处理具有许多汇总信息条目的 CDF 文件的方式中发现一个缺陷。cdf_unpack_summary_info() 函数不必要地反复读取同一偏移中的信息。这造成在 cdf_file_property_info() 中多次调用 file_printf(),从而导致文件在解析特别构建的 CDF 文件时占用过多 CPU 时间 (CVE-2014-0237)。

在文件解析来自复合文档文件 (CDF) 文件的属性信息的方式中发现一个缺陷。具有 0 个元素的属性条目触发了无限循环 (CVE-2014-0238)。

PHP 包含文件实用工具的 libmagic 库的捆绑副本,因此容易受到此问题的影响。它已更新到 5.5.13 版,修复了这个问题和若干其他缺陷。

此外,还针对更新后的 php 程序包重新构建了 php-apc。

解决方案

更新受影响的数据包。

另见

http://advisories.mageia.org/MGASA-2014-0258.html

http://www.php.net/ChangeLog-5.php#5.5.13

插件详情

严重性: Medium

ID: 74448

文件名: mandriva_MDVSA-2014-115.nasl

版本: 1.5

类型: local

发布时间: 2014/6/11

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 4.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

漏洞信息

CPE: p-cpe:/a:mandriva:linux:apache-mod_php, p-cpe:/a:mandriva:linux:lib64php5_common5, p-cpe:/a:mandriva:linux:php-apc, p-cpe:/a:mandriva:linux:php-apc-admin, p-cpe:/a:mandriva:linux:php-bcmath, p-cpe:/a:mandriva:linux:php-bz2, p-cpe:/a:mandriva:linux:php-calendar, p-cpe:/a:mandriva:linux:php-cgi, p-cpe:/a:mandriva:linux:php-cli, p-cpe:/a:mandriva:linux:php-ctype, p-cpe:/a:mandriva:linux:php-curl, p-cpe:/a:mandriva:linux:php-dba, p-cpe:/a:mandriva:linux:php-devel, p-cpe:/a:mandriva:linux:php-doc, p-cpe:/a:mandriva:linux:php-dom, p-cpe:/a:mandriva:linux:php-enchant, p-cpe:/a:mandriva:linux:php-exif, p-cpe:/a:mandriva:linux:php-fileinfo, p-cpe:/a:mandriva:linux:php-filter, p-cpe:/a:mandriva:linux:php-fpm, p-cpe:/a:mandriva:linux:php-ftp, p-cpe:/a:mandriva:linux:php-gd, p-cpe:/a:mandriva:linux:php-gettext, p-cpe:/a:mandriva:linux:php-gmp, p-cpe:/a:mandriva:linux:php-hash, p-cpe:/a:mandriva:linux:php-iconv, p-cpe:/a:mandriva:linux:php-imap, p-cpe:/a:mandriva:linux:php-ini, p-cpe:/a:mandriva:linux:php-intl, p-cpe:/a:mandriva:linux:php-json, p-cpe:/a:mandriva:linux:php-ldap, p-cpe:/a:mandriva:linux:php-mbstring, p-cpe:/a:mandriva:linux:php-mcrypt, p-cpe:/a:mandriva:linux:php-mssql, p-cpe:/a:mandriva:linux:php-mysql, p-cpe:/a:mandriva:linux:php-mysqli, p-cpe:/a:mandriva:linux:php-mysqlnd, p-cpe:/a:mandriva:linux:php-odbc, p-cpe:/a:mandriva:linux:php-opcache, p-cpe:/a:mandriva:linux:php-openssl, p-cpe:/a:mandriva:linux:php-pcntl, p-cpe:/a:mandriva:linux:php-pdo, p-cpe:/a:mandriva:linux:php-pdo_dblib, p-cpe:/a:mandriva:linux:php-pdo_mysql, p-cpe:/a:mandriva:linux:php-pdo_odbc, p-cpe:/a:mandriva:linux:php-pdo_pgsql, p-cpe:/a:mandriva:linux:php-pdo_sqlite, p-cpe:/a:mandriva:linux:php-pgsql, p-cpe:/a:mandriva:linux:php-phar, p-cpe:/a:mandriva:linux:php-posix, p-cpe:/a:mandriva:linux:php-readline, p-cpe:/a:mandriva:linux:php-recode, p-cpe:/a:mandriva:linux:php-session, p-cpe:/a:mandriva:linux:php-shmop, p-cpe:/a:mandriva:linux:php-snmp, p-cpe:/a:mandriva:linux:php-soap, p-cpe:/a:mandriva:linux:php-sockets, p-cpe:/a:mandriva:linux:php-sqlite3, p-cpe:/a:mandriva:linux:php-sybase_ct, p-cpe:/a:mandriva:linux:php-sysvmsg, p-cpe:/a:mandriva:linux:php-sysvsem, p-cpe:/a:mandriva:linux:php-sysvshm, p-cpe:/a:mandriva:linux:php-tidy, p-cpe:/a:mandriva:linux:php-tokenizer, p-cpe:/a:mandriva:linux:php-wddx, p-cpe:/a:mandriva:linux:php-xml, p-cpe:/a:mandriva:linux:php-xmlreader, p-cpe:/a:mandriva:linux:php-xmlrpc, p-cpe:/a:mandriva:linux:php-xmlwriter, p-cpe:/a:mandriva:linux:php-xsl, p-cpe:/a:mandriva:linux:php-zip, p-cpe:/a:mandriva:linux:php-zlib, cpe:/o:mandriva:business_server:1

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2014/6/10

参考资料信息

CVE: CVE-2014-0237, CVE-2014-0238

BID: 67759, 67765

MDVSA: 2014:115