检测

MagicLinux 3php-5.1.6-43.0.1.AXS3 (AXSA:2014-315:01)

high Nessus 插件 ID 289066

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程iraclelinux 3 主机上存在安装的程序包该程序包受到 AXSA:2014-315:01 公告中提及的多个漏洞的影响。

 PHP 是一种 HTML 嵌入脚本语言允许开发人员编写动态生成的网页。PHP 内置集成了多个商业和非商业数据库管理系统,非常适合编写支持数据库的网站。PHP 通常被用作 CGI 脚本的替代品。
 php 程序包包含用于将对 PHP 语言的支持添加到 Apache HTTP Server 的模块。
 此版本修复的安全问题
 CVE-2011-1398 之前的 PHP 5.3.11 和 5.4.x 之前的 5.4.0RC2 中 main/SAPI.c 的 sapi_header_op 函数未检查 %0D 序列也称为回车符这可允许远程攻击者通过绕过 HTTP 响应拆分保护机制特制的 URL与 PHP 标头函数和特定浏览器之间的错误交互有关如 Internet Explorer 和 Google Chrome 所示。
 CVE-2012-2688 之前的 PHP 5.3.15 和 之前的 5.4.x5.4.5 中 stream 实现中 _php_stream_scandir 函数中的不明漏洞 [] 具有与溢出相关的未知影响和远程攻击载体。
 CVE-2013-16435.3.23 允许远程攻击者通过包含 XML 外部实体声明以及实体引用的 5.4.x SOAP WSDL 文件来读取任意文件此问题与 XML 外部实体 (XXE) 相关 5.4.13 。 soap_xmlParseFile 和 soap_xmlParseMemory 函数中的问题。注意:此漏洞是由于对 CVE-2013-1824 的修复不正确导致的。
 CVE-2013-6420 之前的 5.3.28PHP 、 5.4.x 之前的 5.4.23以及 5.5.x5.5.7 之前的 PHP 中 ext/openssl/openssl.c 内的 asn1_time_to_time_t 函数未正确解析 X.509 证书中的 (1) notBefore 和 (2) notAfter 时间戳从而允许远程攻击者通过构建的、未由 openssl_x509_parse 函数正确处理的证书执行任意代码或造成拒绝服务内存损坏。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/4756

插件详情

严重性: High

ID: 289066

文件名: miracle_linux_AXSA-2014-315.nasl

版本: 1.1

类型: local

发布时间: 2026/1/16

最近更新时间: 2026/1/16

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

Vendor

Vendor Severity: High

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2012-2688

CVSS v3

风险因素: High

基本分数: 7.3

时间分数: 6.6

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2013-6420

漏洞信息

CPE: p-cpe:/a:miracle:linux:php-xml, p-cpe:/a:miracle:linux:php-soap, p-cpe:/a:miracle:linux:php-snmp, p-cpe:/a:miracle:linux:php-bcmath, p-cpe:/a:miracle:linux:php-cli, p-cpe:/a:miracle:linux:php-pgsql, p-cpe:/a:miracle:linux:php-oci8, p-cpe:/a:miracle:linux:php-mysql, p-cpe:/a:miracle:linux:php, p-cpe:/a:miracle:linux:php-gd, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:php-ldap, p-cpe:/a:miracle:linux:php-devel, p-cpe:/a:miracle:linux:php-ncurses, p-cpe:/a:miracle:linux:php-odbc, p-cpe:/a:miracle:linux:php-dba, p-cpe:/a:miracle:linux:php-xmlrpc, p-cpe:/a:miracle:linux:php-imap, p-cpe:/a:miracle:linux:php-pdo, p-cpe:/a:miracle:linux:php-mbstring, p-cpe:/a:miracle:linux:php-common

必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2014/5/15

漏洞发布日期: 2011/11/6

参考资料信息

CVE: CVE-2011-1398, CVE-2012-2688, CVE-2013-1643, CVE-2013-6420

IAVB: 2014-B-0135-S