Fedora 28：php-zendframework-zend-http（2018-71e9650fa9）

high Nessus プラグイン ID 120525

Language:

概要

リモートのFedoraホストにセキュリティ更新プログラムがありません。

説明

## 2.8.1 - 2018-08-01

### 追加

- なし。

### 変更済み

- このリリースは、「Zend\Http\PhpEnvironment\Request」がリクエストURIをマーシャリングする方法を変更します。以前のリリースでは、値がある場合はそれを使用して、「X-Rewrite-Url」と「X-Original-Url」のヘッダーの検査を試みていました。これらのヘッダーは、IIS用のISAPI_Rewriteモジュール（HeliconTechにより開発）によって発行されます。ただし、モジュールがヘッダーを発行したものであることを保証する方法がないため、URIを発見するための信頼できないソースとなっています。このため、zend-httpのこのリリースで、この機能を削除しました。

zend-mvcアプリケーションを開発している場合は、次のようなブートストラップリスナーを追加することで、機能を偽装できます：

``` public function onBootstrap(MvcEvent $mvcEvent) { $request = $mvcEvent->getRequest(); $requestUri = null;

$httpXRewriteUrl = $request->getHeader('X-Rewrite-Url'); if ($httpXRewriteUrl) { $requestUri = $httpXRewriteUrl->getFieldValue();
}

$httpXOriginalUrl = $request->getHeader('X-Original-Url');
if ($httpXOriginalUrl) { $requestUri = $httpXOriginalUrl->getFieldValue(); }

if ($requestUri) { $request->setUri($requestUri) } } ```

上記のようなリスナーを使用する場合、ISAPI_Rewriteモジュールによって発行されることを保証できるように、必ず同じ名前の受信ヘッダーを除去するようにWebサーバーにも指示してください。

### 廃止

- なし。

### 削除済み

- なし。

### 修正済み

- なし。

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるphp-zendframework-zend-httpパッケージを更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2018-71e9650fa9

プラグインの詳細

深刻度: High

ID: 120525

ファイル名: fedora_2018-71e9650fa9.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

ファミリー: Fedora Local Security Checks

公開日: 2019/1/3

更新日: 2021/1/6

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

脆弱性情報

CPE: cpe:/o:fedoraproject:fedora:28, p-cpe:/a:fedoraproject:fedora:php-zendframework-zend-http

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2018/8/14

脆弱性公開日: 2018/8/14

参照情報

FEDORA: 2018-71e9650fa9