Debian DSA-3008-1:php5 - 安全更新
medium Nessus 插件 ID 77307
语言:
简介
远程 Debian 主机缺少与安全相关的更新。描述
在通常用于 Web 应用程序开发的通用脚本语言 PHP 中发现多个漏洞。通用漏洞和暴露计划识别以下问题:- CVE-2014-3538 已发现用于 CVE-2013-7345 的原始补丁未完全解决此问题。
远程攻击者仍然可以通过在处理 awk 正则表达式规则期间触发回溯的特别构建的输入文件造成拒绝服务(CPU 消耗)。
- CVE-2014-3587 已发现 fileinfo 模块的 CDF 解析器未正确处理复合文档文件 (CDF) 格式的畸形文件,会导致崩溃。
- CVE-2014-3597 已发现用于 CVE-2014-4049 的原始补丁未完全解决此问题。恶意服务器或中间人攻击者可通过构建的 DNS TXT 记录造成拒绝服务(崩溃)或可能执行任意代码。
- CVE-2014-4670 已发现 PHP 未正确处理某些 SPL 迭代器。本地攻击者可利用此缺陷来造成 PHP 崩溃,从而导致拒绝服务。
解决方案
升级 php5 程序包。对于稳定发行版本 (wheezy),已在版本 5.4.4-14+deb7u13 中修复这些问题。此外,此更新还包含几项最初针对即将推出的 Wheezy 点版本的缺陷补丁。
另见
https://security-tracker.debian.org/tracker/CVE-2014-3538
https://security-tracker.debian.org/tracker/CVE-2013-7345
https://security-tracker.debian.org/tracker/CVE-2014-3587
https://security-tracker.debian.org/tracker/CVE-2014-3597
https://security-tracker.debian.org/tracker/CVE-2014-4049
https://security-tracker.debian.org/tracker/CVE-2014-4670
插件详情
严重性: Medium
ID: 77307
文件名: debian_DSA-3008.nasl
版本: 1.13
类型: local
代理: unix
发布时间: 2014/8/22
最近更新时间: 2021/1/11
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:php5, cpe:/o:debian:debian_linux:7.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
易利用性: No known exploits are available
补丁发布日期: 2014/8/21
参考资料信息
CVE: CVE-2014-3538, CVE-2014-3587, CVE-2014-3597, CVE-2014-4670
DSA: 3008