検出

MiracleLinux 3php-5.1.6-24.5.1.AXS3AXSA:2010-78:01

medium Nessus プラグイン ID 283975

Language:

概要

リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートの MiracleLinux 3 ホストには、AXSA:2010-78:01 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。

 PHP は、HTML 組み込みスクリプト言語です。PHP は、開発者が動的に生成される Web ページを簡単に作成できるようにしています。PHP は、いくつかの商用および非商用のデータベース管理システム用のデータベース統合も提供しています。そのため、PHP でデータベース対応の Web ページを書き込むのは非常に簡単です。PHP コーディングが最も一般的に使用されるのは、おそらく CGI スクリプトの代替としてです。
 php パッケージには、Apache HTTP Server に PHP 言語のサポートを追加するモジュールが含まれています。
 このリリースで修正されたセキュリティ問題
 CVE-2009-26875.2.10 より前の PHP の Exif モジュールの exif_read_data 関数により、リモートの攻撃者が、無効なオフセットフィールドを持つ無効な形式の JPEG 画像を介してサービス拒否クラッシュを引き起こすことが可能です。これは とは CVE-2005-3353別の問題です。
 CVE-2009-32915.2.11 より前の PHP の php_openssl_apply_verification_policy 関数が、適切に証明書検証を実行しないために、おそらく証明書を偽装する能力に関係する、未知の影響および攻撃ベクトルが存在します。
 CVE-2009-32925.2.11より前の PHP および 5.3.x5.3.1より前の PHP の詳細不明な脆弱性には、「exif 処理周辺のサニティーチェック欠落」に関連する未知の影響および攻撃ベクトルが存在します。 CVE-2009-3546 PHP 5.2.11 および 5.3.x ] より前の 5.3.1、ならびに GD Graphics Library 2.xの gd_gd.c の _gdGetColors 関数が、特定の colorsTotal 構造体メンバーを適切に検証しません。これにより、リモートの攻撃者が、バッファオーバーフローまたはバッファオーバーフローを実行できる可能性があります。 -read 攻撃が細工された GD ファイルを介して、これが とは異なる脆弱性です CVE-2009-3293。注: これらの詳細にはサードパーティから得られた情報も含まれています。
 CVE-2009-40175.2.12 より前の PHP および 5.3.x ] より前の 5.3.1 PHP は、マルチパート/フォームデータ POST リクエストの処理時に作成される一時ファイルの数を制限しません。これにより、リモートの攻撃者がサービス拒否リソース枯渇を引き起こし、リモートの攻撃者が、max_file_uploads ディレクティブのサポートが不足していることに関連する、複数のリクエストを介してローカルファイルインクルードの脆弱性を悪用することが容易です。
 CVE-2009-41425.2.12 以前の PHP の htmlspecialchars 関数が (1) 長すぎる UTF-8 シーケンス、(2) 無効な Shift_JIS シーケンス、 (3) 無効な EUC-JP シーケンスを適切に処理しないため、リモートの攻撃者がクロスサイトスクリプティングを実行する可能性があります。 XSS攻撃は、特殊文字の前に細工されたバイトシーケンスを配置することにより攻撃されます。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/1232

プラグインの詳細

深刻度: Medium

ID: 283975

ファイル名: miracle_linux_AXSA-2010-78.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/14

更新日: 2026/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

Vendor

Vendor Severity: High

CVSS v2

リスクファクター: High

基本値: 9.3

現状値: 7.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2009-3546

CVSS v3

リスクファクター: Medium

基本値: 6.1

現状値: 5.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2009-4142

脆弱性情報

CPE: p-cpe:/a:miracle:linux:php-mysql, p-cpe:/a:miracle:linux:php, p-cpe:/a:miracle:linux:php-xmlrpc, p-cpe:/a:miracle:linux:php-common, p-cpe:/a:miracle:linux:php-odbc, p-cpe:/a:miracle:linux:php-pgsql, p-cpe:/a:miracle:linux:php-oci8, p-cpe:/a:miracle:linux:php-snmp, p-cpe:/a:miracle:linux:php-pdo, p-cpe:/a:miracle:linux:php-ldap, p-cpe:/a:miracle:linux:php-devel, p-cpe:/a:miracle:linux:php-mbstring, p-cpe:/a:miracle:linux:php-soap, p-cpe:/a:miracle:linux:php-cli, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:php-ncurses, p-cpe:/a:miracle:linux:php-imap, p-cpe:/a:miracle:linux:php-bcmath, p-cpe:/a:miracle:linux:php-gd, p-cpe:/a:miracle:linux:php-dba, p-cpe:/a:miracle:linux:php-xml

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2010/1/28

脆弱性公開日: 2009/6/18

参照情報

CVE: CVE-2009-2687, CVE-2009-3291, CVE-2009-3292, CVE-2009-3546, CVE-2009-4017, CVE-2009-4142