検出

MiracleLinux 3php-5.1.6-23.2AXS3AXSA:2009-38:01

medium Nessus プラグイン ID 284127

Language:

概要

リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートの MiracleLinux 3 ホストには、AXSA:2009-38:01 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。

 PHP は、HTML 組み込みスクリプト言語です。PHP は、開発者が動的に生成される Web ページを簡単に作成できるようにしています。PHP は、いくつかの商用および非商用のデータベース管理システム用のデータベース統合も提供しています。そのため、PHP でデータベース対応の Web ページを書き込むのは非常に簡単です。PHP コーディングが最も一般的に使用されるのは、おそらく CGI スクリプトの代替としてです。
 php パッケージには、Apache HTTP Server に PHP 言語のサポートを追加するモジュールが含まれています。
 修正されたバグ:
 CVE-2008-3658 PHP 4.4.x4.4.9 より前の および 5.2.6-r6 より前の PHP 5.2 における ext/gd/gd.c の imageloadfont 関数にあるバッファオーバーフローにより、コンテキスト依存の攻撃者がサービス拒否クラッシュを引き起こしたり、実行したりする可能性がありますリモートで任意のコードを実行する可能性があります。
 CVE-2008-3660 PHP 4.4.x 以前の 4.4.9および 5.x から 5.2.6を FastCGI モジュールとして使用した場合、リモートの攻撃者が、拡張の前に複数のドットがあるリクエストを介してサービス拒否クラッシュを引き起こすことができます。これは foo を使用して実証されています。 .php。
 CVE-2008-5498 PHP 5.2.8 以前の imageRotate 関数における配列インデックスエラーにより、コンテキスト依存の攻撃者は、インデックス化されたイメージの第 3 引数別名 bgd_color または clrBack 引数の細工された値を介して、任意のメモリロケーションのコンテンツを読み取ることができます。
 CVE-2008-55574.3.0 PHPの mbstring 拡張の ext/mbstring/libmbfl/filters/mbfilter_htmlent.c のヒープベースのバッファオーバーフローにより、 5.2.6 コンテキスト依存の攻撃者が、HTML エンティティが含まれる細工された文字列を通じて、任意のコードを実行することが可能です。は、Unicode 変換中に、(1) mb_convert_encoding、(2) mb_check_encoding、(3) mb_convert_variables、および (4) mb_parse_str 関数に関連して、適切に処理されませんでした。
 CVE-2008-58145.2.7 およびそれ以前の PHP におけるクロスサイトスクリプティングXSSの脆弱性により、display_errors が有効な場合、リモートの攻撃者が詳細不明なベクトルを介して任意の Web スクリプトまたは HTML を注入する可能性があります。注意:
 詳細不明なため、これが CVE-2006-0208に関連しているかどうかは不明確です。
 CVE-2009-0754 PHP 4.4.4、 5.1.6、およびその他のバージョンを Apache で実行している場合、ローカルユーザーは、.htaccess 内の mbstring.func_overload 設定を変更することで、同じ Web サーバーでホストされている他のサイトの挙動を変更できます。これにより、この設定が無効になります。適用されます。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/675

プラグインの詳細

深刻度: Medium

ID: 284127

ファイル名: miracle_linux_AXSA-2009-38.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/14

更新日: 2026/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

Vendor

Vendor Severity: High

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2008-5557

CVSS v3

リスクファクター: Medium

基本値: 6.1

現状値: 5.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2008-5814

脆弱性情報

CPE: p-cpe:/a:miracle:linux:php-pgsql, p-cpe:/a:miracle:linux:php-pdo, p-cpe:/a:miracle:linux:php-mysql, p-cpe:/a:miracle:linux:php-xml, p-cpe:/a:miracle:linux:php, p-cpe:/a:miracle:linux:php-mbstring, p-cpe:/a:miracle:linux:php-gd, p-cpe:/a:miracle:linux:php-common, p-cpe:/a:miracle:linux:php-soap, p-cpe:/a:miracle:linux:php-bcmath, p-cpe:/a:miracle:linux:php-xmlrpc, p-cpe:/a:miracle:linux:php-ldap, p-cpe:/a:miracle:linux:php-cli, p-cpe:/a:miracle:linux:php-odbc, p-cpe:/a:miracle:linux:php-snmp, p-cpe:/a:miracle:linux:php-devel, p-cpe:/a:miracle:linux:php-dba, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:php-oci8, p-cpe:/a:miracle:linux:php-ncurses, p-cpe:/a:miracle:linux:php-imap

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2009/4/22

脆弱性公開日: 2008/8/7

参照情報

CVE: CVE-2008-3658, CVE-2008-3660, CVE-2008-5498, CVE-2008-5557, CVE-2008-5814, CVE-2009-0754