RHEL 7:rh-php73-php (RHSA-2021: 2992)
medium Nessus 插件 ID 152348
语言:
简介
远程 Red Hat 主机缺少一个或多个安全更新。描述
远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2021: 2992 公告中提及的多个漏洞的影响。- php:在 phar_parse_zipfile 函数中使用已释放的哈希密钥 (CVE-2020-7068)
- php:12 字节 IV 的 AES-CCM 加密算法中存在密码文本/标记错误 (CVE-2020-7069)
- php:Cookie 名称的 URL 解码可导致浏览器与服务器之间对 Cookie 解释不同 (CVE-2020-7070)
- php:FILTER_VALIDATE_URL 接受具有无效 userinfo 的 URL (CVE-2020-7071)
- php:SoapClient 中存在空指针取消引用问题 (CVE-2021-21702)
- php:FILTER_VALIDATE_URL 中存在 SSRF 绕过问题 (CVE-2021-21705)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
https://access.redhat.com/security/cve/CVE-2020-7068
https://access.redhat.com/security/cve/CVE-2020-7069
https://access.redhat.com/security/cve/CVE-2020-7070
https://access.redhat.com/security/cve/CVE-2020-7071
https://access.redhat.com/security/cve/CVE-2021-21702
https://access.redhat.com/security/cve/CVE-2021-21705
https://access.redhat.com/errata/RHSA-2021:2992
https://bugzilla.redhat.com/1868109
https://bugzilla.redhat.com/1885735
https://bugzilla.redhat.com/1885738
https://bugzilla.redhat.com/1913846
插件详情
严重性: Medium
ID: 152348
文件名: redhat-RHSA-2021-2992.nasl
版本: 1.8
类型: local
代理: unix
发布时间: 2021/8/9
最近更新时间: 2023/12/6
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 6.4
时间分数: 5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS 分数来源: CVE-2020-7069
CVSS v3
风险因素: Medium
基本分数: 6.5
时间分数: 5.9
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:rh-php73-php, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-bcmath, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-cli, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-common, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-dba, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-dbg, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-devel, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-embedded, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-enchant, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-fpm, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-gd, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-gmp, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-intl, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-json, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-ldap, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-mbstring, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-mysqlnd, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-odbc, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-opcache, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-pdo, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-pgsql, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-process, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-pspell, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-recode, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-snmp, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-soap, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-xml, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-xmlrpc, p-cpe:/a:redhat:enterprise_linux:rh-php73-php-zip
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2021/8/3
漏洞发布日期: 2020/8/10
参考资料信息
CVE: CVE-2020-7068, CVE-2020-7069, CVE-2020-7070, CVE-2020-7071, CVE-2021-21702, CVE-2021-21705