Fedora 20:php-5.5.22-1.fc20 (2015-2328)

high Nessus 插件 ID 81612

简介

远程 Fedora 主机缺少安全更新。

描述

2015 年 2 月 19 日,PHP 5.5.22

核心:

- 已修复缺陷 #67068(getClosure 返回非闭合的内容)。(Danack at basereality dot com)

- 已修复缺陷 #68925(缓解 CVE-2015-0235 ' GHOST:glibc gethostbyname 缓冲区溢出)。(Stas)

- 已修复缺陷 #68942(unserialize() 中 DateTimeZone 的释放后使用漏洞)。(CVE-2015-0273) (Stas)

- 已添加空字节保护到 exec、system 和 passthru。(Yasuo)

- 删除对多行标题的支持,因为 RFC 7230 已将其弃用。(Stas)

日期:

- 修复了缺陷 #45081(strtotime 未正确解释 SGT 时区)。(Derick)

Dba:

- 修复了缺陷 #68711(无用比较)。(internot dot 信息中的缺陷报告)

Enchant:

- 修复了缺陷 #6855(enchant_broker_request_dict() 中的堆缓冲区溢出)。(Antony)

Fileinfo:

- 修复了缺陷 #68827(禁用 ZMM 的双重释放)。
(Joshua Rogers)

FPM:

- 修复了缺陷 #66479(对 FCGI_GET_VALUES 的错误响应)。
(Frank Stolle)

已修复缺陷 #68571(当 Webserver 关闭套接字时进行核心转储)。(redfoxli069 at gmail dot com,Laruence)

Libxml:

- 修复了缺陷 #64938 (在线程之间共享 libxml_disable_entity_loader 设置)。(Martin Jansen)

OpenSSL:

- 修复了缺陷 #55618(使用不区分大小写的证书名称匹配)。(Daniel Lowrey)

PDO_mysql:

- 修复了缺陷 #68750(带 mysqlnd 的 PDOMysql 不允许使用命名管道)。(steffenb198 at aol.com)

Phar:

- 修复了缺陷 #68901(释放后使用)。(internot dot 信息中的缺陷报告)

Pgsql:

- 修复了缺陷 #65199(pg_copy_from() 修改输入数组变量)。(Yasuo)

Sqlite3:

- 修复了缺陷 #68260(SQLite3Result::fetchArray 声明错误的 required_num_args)。(Julien)

Mysqli:

- 已修复缺陷 #68114(具有固定宽度小数支持的某些 OS X 计算机上的链接器错误)(Keyur Govande)

- 已修复缺陷 #68657(通过 Mysqli 和 libmysqlclient 读取 4 字节浮点具有舍入误差)(Keyur Govande)

会话:

- 已修复缺陷 #68941(mod_files.sh 为 bash 脚本)(bugzilla at ii.nl,Yasuo)

- 已修复缺陷 #66623(flock 中无 EINTR 检查)(Yasuo)

- 已修复缺陷 #68063(空会话 ID 仍会启动会话)(Yasuo)

标准:

- 修复了缺陷 #65272(未在 Windows 中正确设置 flock() 输出参数)。(Daniel Lowrey)

- 修复了缺陷 #69033(如果 PHP 用作 FastCGI,请求可从之前的请求中获取 env. 变量)

流:

- 修复了在流过滤器最终关闭后进行调用的缺陷。(Bob)

请注意,Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

解决方案

更新受影响的 php 程序包。

另见

http://www.nessus.org/u?3c7c73c8

插件详情

严重性: High

ID: 81612

文件名: fedora_2015-2328.nasl

版本: 1.10

类型: local

代理: unix

发布时间: 2015/3/5

最近更新时间: 2021/1/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.9

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:fedoraproject:fedora:php, cpe:/o:fedoraproject:fedora:20

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2015/2/20

漏洞发布日期: 2015/2/20

可利用的方式

Metasploit (Exim GHOST (glibc gethostbyname) Buffer Overflow)

参考资料信息

BID: 64225, 67118, 72325, 72701

FEDORA: 2015-2328