リモートの Debian 11 ホストには、dla-3920 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    ------------------------------------------------------------------------- Debian LTS アドバイザリ DLA-3920-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Guilhem Moulin 2024 年 10 月 14 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

    パッケージ : php7.4 バージョン : 7.4.33-1+deb11u6 CVE ID : CVE-2022-4900 CVE-2024-5458 CVE-2024-8925 CVE-2024-8927 CVE-2024-9026 Debian バグ : 1072885

    広く普及しているオープンソースの汎用スクリプト言語である PHP に複数のセキュリティ問題が見つかりました。これにより、任意のコードの実行、無効な URL またはマルチパートフォームデータの誤った解析、構成設定のバイパス、またはログ汚染が発生する可能性があります。

    CVE-2022-4900

        環境変数 PHP_CLI_SERVER_WORKERS を大きな値に設定すると、ヒープバッファオーバーフローが発生する脆弱性が見つかりました。

    CVE-2024-5458

        コードロジックエラーにより、特定のタイプの URL に対する URL (FILTER_VALIDATE_URL) を検証する際の filter_var などのフィルタリング機能は、無効なユーザー情報 (URL のユーザー名 + パスワードの部分) を有効なユーザー情報として処理する可能性があります。
        これにより、ダウンストリームコードが無効な URL を有効なものとして受け入れ、不適切に解析する可能性があります。

        これは、CVE-2020-7071と同じ問題を引き起こしますが、IPv6 ホスト部分を使用します。

    CVE-2024-8925

        Mihail Kirov 氏は、HTTP POST リクエストに含まれるマルチパートフォームデータの誤った解析により、正当なデータが処理されなくなり、データの整合性が侵害される可能性があることを発見しました。

    CVE-2024-8927

        「cgi.force_redirect」設定は環境変数の衝突によりバイパス可能であることが発見されました。

    CVE-2024-9026

        PHP-FPM で、catch_workers_output = yes の設定によってワーカー出力をキャッチするように設定すると、FPM_STDIO_CMD_FLUSH マクロからの最大 4 文字の最終ログが汚染されるか、ログから最大 4 文字が削除される場合があります。

    Debian 11 bullseye においては、これらの問題はバージョン 7.4.33-1+deb11u6 で修正されました。

    お使いの php7.4 パッケージをアップグレードすることを推奨します。

    php7.4 の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
    https://security-tracker.debian.org/tracker/php7.4

    Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP 署名

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Debian dla-3920 : libapache2-mod-php7.4 - セキュリティ更新

high Nessus プラグイン ID 208984

バージョン 1.2