検出

MiracleLinux 3php-5.1.6-39.0.1.AXS3AXSA:2012-687:05

high Nessus プラグイン ID 283898

Language:

概要

リモート MiracleLinux ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの MiracleLinux 3 ホストには、AXSA:2012-687:05 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。

 PHP は、開発者が動的に生成される Web ページを記述できるようにする、HTML 組み込みのスクリプト言語です。PHP は、複数の商用および非商用データベース管理システムの組み込み統合により、データベース対応のウェブサイトを作成するのに最適です。PHP は CGI スクリプトの代替としてよく使用されます。
 php パッケージには、Apache HTTP サーバーに PHP 言語のサポートを追加するモジュールが含まれています。
 このリリースで修正されたセキュリティ問題
 CVE-2011-4153 PHP 5.3.8 は、zend_strndup 関数の戻り値を常にチェックしているとは限りません。これにより、リモートの攻撃者が、信頼できない文字列データで strndup 操作を実行するアプリケーションに対する細工された入力を介して、サービス拒否NULL ポインターデリファレンスおよびアプリケーションクラッシュを引き起こす可能性があります。 、zend_builtin_functions.c の定義関数によって実証されており、ext/soap/php_sdl.c、ext/standard/syslog.c、ext/standard/browscap.c、ext/oci8/oci8.c、ext/ の詳細不明な関数com_dotnet/com_typeinfo.c、および main/php_open_temporary_file.c。
 CVE-2012-00575.3.9 より前の PHP には、不適切な libxslt セキュリティ設定があります。これにより、リモートの攻撃者が、libxslt 出力拡張を使用する細工された XSLT スタイルシートで任意のファイルを作成することができます。
 CVE-2012-07895.3.9 より前の PHP のタイムゾーン機能におけるメモリ漏洩により、リモートの攻撃者は、php_date_parse_tzfile キャッシュにより適切に処理されない多数の strtotime 関数を呼び出すことにより、サービス拒否メモリ消費を引き起こす可能性があります。
 CVE-2012-11725.4.0 以前の PHP の rfc1867.c の file-upload 実装では、名前の値にある無効な [ ]オープン角括弧文字を適切に処理しないため、リモートの攻撃者がサービス拒否を容易に引き起こすことができます無効な形式の $_FILES インデックス) したり、独自のファイル名の制限がないスクリプトを利用して、マルチファイルのアップロード中にディレクトリトラバーサル攻撃を実行したりすることができます。
 CVE-2012-23365.3.13 以前の PHP および 5.4.x ] 以前の 5.4.3PHP の sapi/cgi/cgi_main.c が、CGI スクリプト別名 php-cgiとして構成されたとき、= 等価符号文字の欠落したクエリ文字列を適切に処理しません。これにより、リモートの攻撃者が、クエリ文字列にコマンドラインオプションを配置することで、サービス拒否リソース消費を引き起こすことができます。これは、「T」の場合に特定の php_getopt をスキップしないことに関連しています。注:この脆弱性は、CVE-2012-1823の修正が不完全なために存在します。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/3202

プラグインの詳細

深刻度: High

ID: 283898

ファイル名: miracle_linux_AXSA-2012-687.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/14

更新日: 2026/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.6

Vendor

Vendor Severity: High

CVSS v2

リスクファクター: Medium

基本値: 6.4

現状値: 5.6

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS スコアのソース: CVE-2012-0057

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 7.2

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:H/RL:O/RC:C

CVSS スコアのソース: CVE-2012-2336

脆弱性情報

CPE: p-cpe:/a:miracle:linux:php-mysql, p-cpe:/a:miracle:linux:php, p-cpe:/a:miracle:linux:php-xmlrpc, p-cpe:/a:miracle:linux:php-common, p-cpe:/a:miracle:linux:php-snmp, p-cpe:/a:miracle:linux:php-odbc, p-cpe:/a:miracle:linux:php-mbstring, p-cpe:/a:miracle:linux:php-ldap, p-cpe:/a:miracle:linux:php-devel, p-cpe:/a:miracle:linux:php-pdo, p-cpe:/a:miracle:linux:php-pgsql, p-cpe:/a:miracle:linux:php-oci8, p-cpe:/a:miracle:linux:php-bcmath, p-cpe:/a:miracle:linux:php-soap, p-cpe:/a:miracle:linux:php-cli, p-cpe:/a:miracle:linux:php-dba, p-cpe:/a:miracle:linux:php-gd, p-cpe:/a:miracle:linux:php-ncurses, p-cpe:/a:miracle:linux:php-imap, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:php-xml

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2012/8/2

脆弱性公開日: 2011/12/18

参照情報

CVE: CVE-2011-4153, CVE-2012-0057, CVE-2012-0789, CVE-2012-1172, CVE-2012-2336

IAVB: 2013-B-0075-S