Fedora 14:maniadrive-1.2-23.fc14 / php-5.3.4-1.fc14.1 / php-eaccelerator-0.9.6.1-3.fc14 (2010-18976)

medium Nessus 插件 ID 51412

简介

远程 Fedora 主机缺少一个或多个安全更新。

描述

PHP 5.3.4 中的安全增强功能和补丁:

- 修复了 zip 提取方法中的崩溃(可能为 CWE-170)。

- 含 NULL 的路径 (foo\0bar.txt) 现在视为无效 (CVE-2006-7243)。

- 修复了 imap 扩展中可能存在的双重释放(由 Mateusz Kocielski 识别)。(CVE-2010-4150)。

- 修复了 ZipArchive::getArchiveComment 中的空指针取消引用。(CVE-2010-3709)。

- 修复了 open_basedir 中可能存在的缺陷 (CVE-2010-3436)。

- 修复了 MOPS-2010-24,修复字符串验证。
(CVE-2010-2950)。

- 修复了目标为 DFS 共享时的符号解析支持。

- 修复了缺陷 #52929(包含具有大量数据的 FILTER_VALIDATE_EMAIL 的 filter_var 中的段错误)(CVE-2010-3710)。

PHP 5.3.4 中的关键缺陷补丁包括:

- 为 zip 流添加了 stat 支持。

- 为 http 流支持添加了 follow_location(默认启用)选项。

- 为 get_html_translation_table 添加了第三个参数。
现在采用字符集提示,如 htmlentities 等。

- 实现了 FR #52348,并添加了新常量 ZEND_MULTIBYTE,以在运行时检测 zend 多字节。

完整的上游变更日志:http://www.php.net/ChangeLog-5.php#5.3.4

此更新也提供针对更新 php 重新构建的 php-eaccelerator 和 maniadrive 程序包。

请注意,Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

解决方案

更新受影响的 maniadrive、php 和/或 php-eaccelerator 程序包。

另见

http://www.php.net/ChangeLog-5.php#5.3.4

https://bugzilla.redhat.com/show_bug.cgi?id=646684

https://bugzilla.redhat.com/show_bug.cgi?id=649056

https://bugzilla.redhat.com/show_bug.cgi?id=651206

https://bugzilla.redhat.com/show_bug.cgi?id=651682

https://bugzilla.redhat.com/show_bug.cgi?id=652836

https://bugzilla.redhat.com/show_bug.cgi?id=656917

https://bugzilla.redhat.com/show_bug.cgi?id=660382

http://www.nessus.org/u?730c2771

http://www.nessus.org/u?7a183384

http://www.nessus.org/u?85fdc87e

插件详情

严重性: Medium

ID: 51412

文件名: fedora_2010-18976.nasl

版本: 1.14

类型: local

代理: unix

发布时间: 2011/1/5

最近更新时间: 2021/1/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:fedoraproject:fedora:maniadrive, p-cpe:/a:fedoraproject:fedora:php, p-cpe:/a:fedoraproject:fedora:php-eaccelerator, cpe:/o:fedoraproject:fedora:14

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2010/12/17

漏洞发布日期: 2010/10/25

参考资料信息

CVE: CVE-2009-5016, CVE-2010-3709, CVE-2010-3710, CVE-2010-3870, CVE-2010-4150, CVE-2010-4156, CVE-2010-4409

BID: 43926, 44605, 44718, 44727, 44889, 44980, 45119

FEDORA: 2010-18976