Fedora 21:php-5.6.5-1.fc21 (2015-1058)

high Nessus 插件 ID 81190

简介

远程 Fedora 主机缺少安全更新。

描述

** 2015 年 1 月 22 日,PHP 5.6.5

核心:

- 已将 crypt_blowfish 升级到版本 1.3。(Leigh)

- 修复了缺陷 #60704(某些文件路径的 unlink() 缺陷)。

- 修复了缺陷 #65419(内部特性,self::class != __CLASS__)。(Julien)

- 修复了缺陷 #68536(用于 64 位整数的包在 bigendian 中损坏)。(Remi)

- 修复了缺陷 #55541(错误生成会阻止测试自动化的消息框)(Anatol)

- 修复了缺陷 #68297(应用程序弹出窗口提供的信息太少)。(Anatol)

- 修复了缺陷 #65769(TS 版本中的 localeconv() 中断)。
(Anatol)

- 修复了缺陷 #65230(随机区域设置中断)。
(Anatol)

- 修复了缺陷 #66764(配置未正确定义 EXPANDED_DATADIR / PHP_DATADIR)。(Ferenc)

- 修复了缺陷 #68583(超时线程中发生崩溃)。(Anatol)

- 修复了缺陷 #65576(与继承构造函数存在特性冲突的构造函数)。(dunglas at gmail dot com)

- 修复了缺陷 #68676(明确的双重释放)。(Kalle)

修复了缺陷 #68710(PHP 的 unserialize() 中的释放后使用漏洞)。(CVE-2015-0231) (Stefan Esser)

CGI:

- 修复了缺陷 #68618(越界读取使 php-cgi 崩溃)。
(CVE-2014-9427) (Stas)

CLI 服务器:

- 修复了缺陷 #68745(无效的 HTTP 请求导致 Web 服务器发生段错误)。(Adam)

cURL:

- 修复了缺陷 #67643(当未设置 CURLOPT_RETURNTRANSFER 时, curl_multi_getcontent 返回 ')。(Jille Timmermans)

日期:

- 实现了 FR #68268(DatePeriod:开始日期、结束日期和间隔时间的 Getter)。(Marc Bennewitz)

EXIF:

- 修复了缺陷 #68799:对未初始化的指针释放调用。
(CVE-2015-0232) (Stas)

Fileinfo:

- 修复了缺陷 #68398(msooxml 匹配太多存档)。
(Anatol)

- 修复了缺陷 #68665(libmagic 中无效的释放)。(Joshua Rogers、Anatol Belski)

- 修复了缺陷 #68671(libmagic 中的错误表达)。
(Joshua Rogers、Anatol Belski)

- 从 libmagic 源中删除 readelf.c 及相关代码(Remi、Anatol )

- 修复了缺陷 #68735(fileinfo 越界内存访问)。(Anatol)

FPM:

- 修复了请求 #68526(实现 UDS 的 POSIX 访问控制列表)。(Remi)

- 修复了缺陷 #68751(listen.allowed_clients 中断)。
(Remi)

GD:

- 修复了缺陷 #68601(gd_gif_in.c 中的缓冲区读取溢出)。
(Jan Bee、Remi)

- 修复了请求 #68656(报告 gd 库版本)。
(Remi)

mbstring:

- 修复了缺陷 #68504(Windows 上不存在 --with-libmbfl 配置选项)。(Ashesh Vashi)

Opcache:

- 修复了缺陷 #68644(strlen 不正确:mbstring + func_overload=2 +UTF-8 + Opcache)。(Laruence)

- 修复了缺陷 #67111(当使用两个 foreach 循环内的“continue 2”时存在的内存泄漏)。(Nikita)

OpenSSL:

- 改善了 OPENSSL_KEYTYPE_EC 密钥的处理。(Dominic Luechinger)

pcntl:

- 修复了缺陷 #60509(设置 SIG_DFL 时, pcntl_signal 未减少旧处理程序的引用计数)。(Julien)

PCRE:

- 修复了缺陷 #66679(PCRE 8.34 上游中的对齐缺陷)。
(Rainer Jung、Anatol Belski)

pgsql:

- 修复了缺陷 #68697(失败时 lo_export 返回 -1)。
(Ondrej Sury)

PDO:

- 修复了缺陷 #68371(使用平台特定属性名称无法调用 PDO#getAttribute())。(Matteo)

PDO_mysql:

- 修复了缺陷 #68424(添加新的 PDO mysql 连接属性以控制多语句选项)。(peter dot wolanin at acquia dot com)

SPL:

- 修复了缺陷 #66405 (RecursiveDirectoryIterator::CURRENT_AS_PATHNAME 中断 RecursiveIterator)。(Paul Garvin)

- 修复了缺陷 #68479(向 SplFileObject::fputcsv 添加了转义参数)。(Salathe)

SQLite:

- 修复了缺陷 #68120(将捆绑的 libsqlite 更新到 3.8.7.2)。
(Anatol)

流:

- 修复了缺陷 #68532(convert.base64-encode 忽略填充字节)。(blaesius at krumedia dot de)

请注意,Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

解决方案

更新受影响的 php 程序包。

另见

https://bugzilla.redhat.com/show_bug.cgi?id=1178736

https://bugzilla.redhat.com/show_bug.cgi?id=1185397

https://bugzilla.redhat.com/show_bug.cgi?id=1185472

http://www.nessus.org/u?d04ad9b8

插件详情

严重性: High

ID: 81190

文件名: fedora_2015-1058.nasl

版本: 1.14

类型: local

代理: unix

发布时间: 2015/2/6

最近更新时间: 2021/1/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.5

矢量: AV:N/AC:L/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:fedoraproject:fedora:php, cpe:/o:fedoraproject:fedora:21

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

补丁发布日期: 2015/1/25

漏洞发布日期: 2014/12/20

参考资料信息

CVE: CVE-2014-8142, CVE-2014-9427, CVE-2015-0231, CVE-2015-0232

FEDORA: 2015-1058