检测

MagicLinux 3php-5.1.6-23.2AXS3 (AXSA:2009-38:01)

medium Nessus 插件 ID 284127

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程MiracleLinux 3 主机上存在安装的程序包该程序包受到 AXSA:2009-38:01 公告中提及的多个漏洞的影响。

 PHP 是一种 HTML 嵌入脚本语言。PHP 试图让开发人员轻松编写动态生成的网页。PHP 还为多个商业和非商业数据库管理系统提供内置数据库集成因此使用 PHP 编写启用数据库的网页相当简单。PHP 编码最常见的用途可能是替换 CGI 脚本。
 php 程序包包含可为 Apache HTTP 服务器添加 PHP 语言支持的模块。
 修复的缺陷:
 在低于CVE-2008-36584.4.9 ] 的PHP 4.4.x ] 和低于 5.2.6-r6 的 PHP 5.2 中ext/gd/gd.c 的 imageloadfont 函数中的缓冲区溢出允许上下文有关的攻击者造成拒绝服务崩溃并可能执行通过构建的字体文件发送的任意代码。
 CVE-2008-3660 PHP 4.4.x 之前的 4.4.9以及 5.x 到 5.2.6版在用作 FastCGI 模块时允许远程攻击者通过扩展名前含有多个点的请求造成拒绝服务崩溃如使用 foo 所示。 .php。
 CVE-2008-5498 PHP 5.2.8 和更早版本中 imageRotate 函数内存在数组索引错误这允许上下文有关的攻击者通过索引图像的第三个参数即 bgd_color 或 clrBack 参数的特别构建值读取任意内存位置的内容。
 CVE-2008-5557 PHP 4.3.0 到 5.2.6 ] 中 mbstring 扩展内的 ext/mbstring/libmbfl/filters/mbfilter_htmlent.c 存在基于堆的缓冲区溢出允许上下文有关的攻击者通过包含 HTML 实体的构建字符串执行任意代码Unicode 转换期间未正确处理与 (1) mb_convert_encoding、(2) mb_check_encoding、(3) mb_convert_variables 和 (4) mb_parse_str 函数相关的问题。
 CVE-2008-5814 启用 display_errors 时PHP 中可能是 5.2.7 和更早版本的 [] 跨站脚本 (XSS) 漏洞允许远程攻击者通过不明矢量注入任意 Web 脚本或 HTML。注意:
 由于缺少详细信息尚不清楚这是否与 CVE-2006-0208有关。
 CVE-2009-0754 PHP 4.4.4、 5.1.6和其他版本在 Apache 上运行时允许本地用户通过修改 .htaccess 中的 mbstring.func_overload 设置来修改同一 Web 服务器上托管的其他站点的行为从而导致此设置应用到同一台服务器上的其他虚拟主机。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/675

插件详情

严重性: Medium

ID: 284127

文件名: miracle_linux_AXSA-2009-38.nasl

版本: 1.1

类型: local

发布时间: 2026/1/14

最近更新时间: 2026/1/14

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

Vendor

Vendor Severity: High

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2008-5557

CVSS v3

风险因素: Medium

基本分数: 6.1

时间分数: 5.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2008-5814

漏洞信息

CPE: p-cpe:/a:miracle:linux:php-pgsql, p-cpe:/a:miracle:linux:php-pdo, p-cpe:/a:miracle:linux:php-mysql, p-cpe:/a:miracle:linux:php-xml, p-cpe:/a:miracle:linux:php, p-cpe:/a:miracle:linux:php-mbstring, p-cpe:/a:miracle:linux:php-gd, p-cpe:/a:miracle:linux:php-common, p-cpe:/a:miracle:linux:php-soap, p-cpe:/a:miracle:linux:php-bcmath, p-cpe:/a:miracle:linux:php-xmlrpc, p-cpe:/a:miracle:linux:php-ldap, p-cpe:/a:miracle:linux:php-cli, p-cpe:/a:miracle:linux:php-odbc, p-cpe:/a:miracle:linux:php-snmp, p-cpe:/a:miracle:linux:php-devel, p-cpe:/a:miracle:linux:php-dba, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:php-oci8, p-cpe:/a:miracle:linux:php-ncurses, p-cpe:/a:miracle:linux:php-imap

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2009/4/22

漏洞发布日期: 2008/8/7

参考资料信息

CVE: CVE-2008-3658, CVE-2008-3660, CVE-2008-5498, CVE-2008-5557, CVE-2008-5814, CVE-2009-0754