SUSE SLES11 セキュリティ更新プログラム : php53 (SUSE-SU-2019:14158-1)
high Nessus プラグイン ID 150598
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLES11ホストには、SUSE-SU-2019:14158-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。- PHP バージョン 7.1.30 より前の 7.1.x、7.2.19 より前の 7.2.x、7.3.6 より前の 7.3.x の PHP GD 拡張機能で使用される GD グラフィックライブラリ (別名 LibGD) 2.2.5 の gdImageCreateFromXbm() 関数を使用するとき、初期化されていない変数の値を関数に使用させるデータが供給される可能性があります。これにより、以前のコードによって残されたスタックの内容が開示される可能性があります。(CVE-2019-11038)
- 7.1.31より下の7.1.x、7.2.21より下の7.2.x、7.3.8より下の7.3.xのPHPバージョンで、PHP EXIF拡張機能がexif_read_data()関数などを介して画像からEXIF情報を解析しているとき、割り当てられたバッファを超えた読み込みを引き起こすデータとともに提供される可能性があります。これにより、情報漏洩やクラッシュが発生する可能性があります。(CVE-2019-11041、CVE-2019-11042)
Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://bugzilla.suse.com/1140118
https://bugzilla.suse.com/1145095
https://bugzilla.suse.com/1146360
http://www.nessus.org/u?93b190cb
https://www.suse.com/security/cve/CVE-2019-11038
プラグインの詳細
深刻度: High
ID: 150598
ファイル名: suse_SU-2019-14158-1.nasl
バージョン: 1.3
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2021/6/10
更新日: 2023/12/26
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.0
CVSS v2
リスクファクター: Medium
基本値: 5.8
現状値: 4.5
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:P
CVSS スコアのソース: CVE-2019-11042
CVSS v3
リスクファクター: High
基本値: 7.1
現状値: 6.4
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:apache2-mod_php53, p-cpe:/a:novell:suse_linux:php53, p-cpe:/a:novell:suse_linux:php53-bcmath, p-cpe:/a:novell:suse_linux:php53-bz2, p-cpe:/a:novell:suse_linux:php53-calendar, p-cpe:/a:novell:suse_linux:php53-ctype, p-cpe:/a:novell:suse_linux:php53-curl, p-cpe:/a:novell:suse_linux:php53-dba, p-cpe:/a:novell:suse_linux:php53-dom, p-cpe:/a:novell:suse_linux:php53-exif, p-cpe:/a:novell:suse_linux:php53-fastcgi, p-cpe:/a:novell:suse_linux:php53-fileinfo, p-cpe:/a:novell:suse_linux:php53-ftp, p-cpe:/a:novell:suse_linux:php53-gd, p-cpe:/a:novell:suse_linux:php53-gettext, p-cpe:/a:novell:suse_linux:php53-gmp, p-cpe:/a:novell:suse_linux:php53-iconv, p-cpe:/a:novell:suse_linux:php53-intl, p-cpe:/a:novell:suse_linux:php53-json, p-cpe:/a:novell:suse_linux:php53-ldap, p-cpe:/a:novell:suse_linux:php53-mbstring, p-cpe:/a:novell:suse_linux:php53-mcrypt, p-cpe:/a:novell:suse_linux:php53-mysql, p-cpe:/a:novell:suse_linux:php53-odbc, p-cpe:/a:novell:suse_linux:php53-openssl, p-cpe:/a:novell:suse_linux:php53-pcntl, p-cpe:/a:novell:suse_linux:php53-pdo, p-cpe:/a:novell:suse_linux:php53-pear, p-cpe:/a:novell:suse_linux:php53-pgsql, p-cpe:/a:novell:suse_linux:php53-pspell, p-cpe:/a:novell:suse_linux:php53-shmop, p-cpe:/a:novell:suse_linux:php53-snmp, p-cpe:/a:novell:suse_linux:php53-soap, p-cpe:/a:novell:suse_linux:php53-suhosin, p-cpe:/a:novell:suse_linux:php53-sysvmsg, p-cpe:/a:novell:suse_linux:php53-sysvsem, p-cpe:/a:novell:suse_linux:php53-sysvshm, p-cpe:/a:novell:suse_linux:php53-tokenizer, p-cpe:/a:novell:suse_linux:php53-wddx, p-cpe:/a:novell:suse_linux:php53-xmlreader, p-cpe:/a:novell:suse_linux:php53-xmlrpc, p-cpe:/a:novell:suse_linux:php53-xmlwriter, p-cpe:/a:novell:suse_linux:php53-xsl, p-cpe:/a:novell:suse_linux:php53-zip, p-cpe:/a:novell:suse_linux:php53-zlib, cpe:/o:novell:suse_linux:11
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2019/9/3
脆弱性公開日: 2019/5/5
参照情報
CVE: CVE-2019-11038, CVE-2019-11041, CVE-2019-11042
IAVA: 2019-A-0437-S
IAVB: 2019-B-0045-S, 2019-B-0070-S
SuSE: SUSE-SU-2019:14158-1