MagicLinux 4rh-php56-php-5.6.5-8.AXS4 (AXSA:2016-144:01)
critical Nessus 插件 ID 291542
语言:
简介
远程iraclelinux 主机缺少一个或多个安全更新。描述
远程iraclelinux 4 主机上存在安装的程序包该程序包受到 AXSA:2016-144:01 公告中提及的多个漏洞的影响。PHP 是一种 HTML 嵌入脚本语言。PHP 试图使开发人员轻松编写动态生成的网页。PHP 还为多个商业和非商业数据库管理系统提供内置数据库集成因此使用 PHP 编写启用数据库的网页相当简单。PHP 编码最常见的用途可能是替换 CGI 脚本。
此程序包中包含的模块常称为 mod_php其可为 Apache HTTP 2.4 Server 增加对 PHP 语言的支持。
此版本修复的安全问题
CVE-2015-5589
** 已预留 ** 该候选编码已被某个组织或个人预留,将在公告新的安全问题时使用。在公布候选编码时,将提供该候选编码的详情。
在低于CVE-2015-55905.4.43的 PHP 、低于 [] 的 PHP 、低于 5.5.x5.5.27的 PHP 以及低于 5.6.x5.6.11 的 PHP 中ext/phar/phar.c 的 phar_fix_filepath 函数中存在基于堆栈的缓冲区溢出允许远程攻击者造成拒绝服务或可能执行不明大长度值造成的其他影响这一点已由 imap PHP 扩展对电子邮件附件的错误处理证实。
CVE-2015-6831 之前的 5.4.44、 5.5.x 之前的 5.5.28以及 5.6.x5.6.12 之前的 PHP 中 SPL 的多个释放后使用漏洞允许远程攻击者通过涉及 (1) ArrayObject、(2) SplObjectStorage 和 的矢量执行任意代码(3) SplDoublyLinkedList在反序列化期间受到错误处理。
CVE-2015-6832 在 PHP 之前版本之前的 5.4.44、 5.5.x 之前的 5.5.28] 以及 5.6.x 之前的 5.6.12 中ext/spl/spl_array.c 的 SPL 反序列化实现中存在释放后使用漏洞允许远程攻击者通过特制的序列化数据执行任意代码会触发数组字段的误用。
在CVE-2015-68335.4.44] 之前的 PHP 、 5.5.x 之前的 5.5.28PHP 以及 5.6.x5.6.12 之前的 PHP 中PharData 类中的 [] 目录遍历漏洞允许远程攻击者通过 ZIP 存档条目中的 ..点点点写入任意文件extractTo 调用期间处理不当。
CVE-2015-6834
** 已预留 ** 该候选编码已被某个组织或个人预留,将在公告新的安全问题时使用。在公布候选编码时,将提供该候选编码的详情。
CVE-2015-6835
** 已预留 ** 该候选编码已被某个组织或个人预留,将在公告新的安全问题时使用。在公布候选编码时,将提供该候选编码的详情。
CVE-2015-6836 之前的 PHP 5.4.45、 5.5.x 之前的 5.5.29以及 5.6.x5.6.13 之前的 PHP 中 ext/soap/soap.c 的 SoapClient __call 方法未正确管理标头这允许远程攻击者通过构建的序列化数据执行任意代码。会触发 serialize_function_call 函数中的类型混淆。
CVE-2015-6837
** 已预留 ** 该候选编码已被某个组织或个人预留,将在公告新的安全问题时使用。在公布候选编码时,将提供该候选编码的详情。
CVE-2015-6838
** 已预留 ** 该候选编码已被某个组织或个人预留,将在公告新的安全问题时使用。在公布候选编码时,将提供该候选编码的详情。
CVE-2015-7803 之前的 PHP 5.5.30 和 5.6.x5.6.14 之前的 PHP 中ext/phar/util.c 中的 phar_get_entry_data 函数可允许远程攻击者通过具有构建 TAR 的 .phar 文件造成拒绝服务空指针取消引用和应用程序崩溃存档条目的链接指示符引用了不存在的文件。
CVE-2015-7804 在低于 5.5.30 的PHP 和低于 5.6.14 的 PHP 5.6.x ] 中ext/phar/zip.c 中的 phar_parse_zipfile 函数存在差一错误允许远程攻击者通过包含内容来造成拒绝服务未初始化的指针取消引用和应用程序崩溃/ .zip PHAR 存档中的 / 文件名。
Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
插件详情
严重性: Critical
ID: 291542
文件名: miracle_linux_AXSA-2016-144.nasl
版本: 1.1
类型: local
发布时间: 2026/1/19
最近更新时间: 2026/1/19
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
Vendor
Vendor Severity: Moderate
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2015-5589
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2015-6835
漏洞信息
CPE: p-cpe:/a:miracle:linux:rh-php56-php-ldap, p-cpe:/a:miracle:linux:rh-php56-php-dbg, p-cpe:/a:miracle:linux:rh-php56-php-xml, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:rh-php56-php-opcache, p-cpe:/a:miracle:linux:rh-php56-php-gd, p-cpe:/a:miracle:linux:rh-php56-php-enchant, p-cpe:/a:miracle:linux:rh-php56-php-soap, p-cpe:/a:miracle:linux:rh-php56-php-fpm, p-cpe:/a:miracle:linux:rh-php56-php-xmlrpc, p-cpe:/a:miracle:linux:rh-php56-php-intl, p-cpe:/a:miracle:linux:rh-php56-php-dba, p-cpe:/a:miracle:linux:rh-php56-php-mbstring, p-cpe:/a:miracle:linux:rh-php56-php-mysqlnd, p-cpe:/a:miracle:linux:rh-php56-php-process, p-cpe:/a:miracle:linux:rh-php56-php-embedded, p-cpe:/a:miracle:linux:rh-php56-php-gmp, p-cpe:/a:miracle:linux:rh-php56-php-snmp, p-cpe:/a:miracle:linux:rh-php56-php-pspell, p-cpe:/a:miracle:linux:rh-php56-php-tidy, p-cpe:/a:miracle:linux:rh-php56-php, p-cpe:/a:miracle:linux:rh-php56-php-recode, p-cpe:/a:miracle:linux:rh-php56-php-pgsql, p-cpe:/a:miracle:linux:rh-php56-php-pdo, p-cpe:/a:miracle:linux:rh-php56-php-bcmath, p-cpe:/a:miracle:linux:rh-php56-php-cli, p-cpe:/a:miracle:linux:rh-php56-php-common, p-cpe:/a:miracle:linux:rh-php56-php-odbc, p-cpe:/a:miracle:linux:rh-php56-php-devel, p-cpe:/a:miracle:linux:rh-php56-php-imap
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2016/3/17
漏洞发布日期: 2015/7/13
参考资料信息
CVE: CVE-2015-5589, CVE-2015-5590, CVE-2015-6831, CVE-2015-6832, CVE-2015-6833, CVE-2015-6834, CVE-2015-6835, CVE-2015-6836, CVE-2015-6837, CVE-2015-6838, CVE-2015-7803, CVE-2015-7804