検出

Fedora 28:php-zendframework-zend-feed(2018-7da5983771)

high Nessus プラグイン ID 120563

Language:

概要

リモートのFedoraホストにセキュリティ更新プログラムがありません。

説明

## 2.10.3 - 2018-08-01

### 追加

 - なし。

### 変更済み

 -このリリースでは、「Zend\Feed\Pubsubhubbub\AbstractCallback: : _detectCallbac kUrl()」がリクエストURIをマーシャリングする方法を変更します。以前のリリースでは、値がある場合はそれを使用して、「X-Rewrite-Url」と「X-Original-Url」のヘッダーの検査を試みていました。これらのヘッダーは、IIS用のISAPI_Rewriteモジュール(HeliconTechにより開発)によって発行されます。ただし、モジュールがヘッダーを発行したものであることを保証する方法がないため、URIを発見するための信頼できないソースとなっています。このため、このリリースで、この機能を削除しました。

 このメソッドは内部で呼び出されなくなりました。独自の拡張からメソッドを呼び出しており、ISAPI_Rewriteのサポートが必要な場合、以下のようにメソッドをオーバーライドする必要があります。

``` protected function _detectCallbackUrl() { $callbackUrl = null; if (isset($_SERVER['HTTP_X_REWRITE_URL'])) { $callbackUrl = $_SERVER['HTTP_X_REWRITE_URL']; } if (isset($_SERVER['HTTP_X_ORIGINAL_URL'])) { $callbackUrl = $_SERVER['HTTP_X_ORIGINAL_URL']; }

return $callbackUrl ?: parent: : __detectCallbackUrl(); } ```

上記のようなアプローチを使用する場合、ISAPI_Rewriteモジュールによって発行されることを保証できるように、必ず同じ名前の受信ヘッダーを除去するようにWebサーバーにも指示してください。

### 廃止

 - なし。

### 削除済み

 - なし。

### 修正済み

 - なし。

注意:Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるphp-zendframework-zend-feedパッケージを更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2018-7da5983771

プラグインの詳細

深刻度: High

ID: 120563

ファイル名: fedora_2018-7da5983771.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2019/1/3

更新日: 2021/1/6

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

脆弱性情報

CPE: cpe:/o:fedoraproject:fedora:28, p-cpe:/a:fedoraproject:fedora:php-zendframework-zend-feed

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2018/8/14

脆弱性公開日: 2018/8/14

参照情報