検出

MiracleLinux 7rh-php56-php-5.6.5-8.el7AXSA:2016-140:02

critical Nessus プラグイン ID 289070

Language:

概要

リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートのMiracleLinux 7ホストには、AXSA:2016-140:02アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 PHP は、HTML 組み込みスクリプト言語です。PHP は、開発者が動的に生成される Web ページを簡単に作成できるようにします。PHP は、いくつかの商用および非商用のデータベース管理システム用のデータベース統合も提供しています。そのため、PHP でデータベース対応の Web ページを書き込むのは非常に簡単です。PHP コーディングが最も一般的に使用されるのは、おそらく CGI スクリプトの代替としてです。
 このパッケージには、Apache HTTP 2.4 Server に PHP 言語のサポートを追加するモジュール多くの場合、mod_php が含まれています。
 このリリースで修正されたセキュリティ問題
 CVE-2015-5589
 **予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
 CVE-2015-5590 より前 5.4.43、 5.5.27より前の 5.5.x 、より前の の PHP の ext/phar/phar.c にある phar_fix_filepath 関数のスタックベースのバッファオーバーフローにより 5.6.x 、リモートの攻撃者がサービス拒否を引き起こしたり 5.6.11 、大きな長さの値を介するその他の影響。これは、imap PHP 拡張による電子メール添付ファイルの不適切な処理によって実証されています。
 CVE-2015-6831 より前の 5.4.44、 5.5.x より前の 5.5.28、 5.6.x より前の 5.6.12 PHP の SPL にある複数の use-after-free の脆弱性により、リモートの攻撃者が、(1) ArrayObject、(2) SplObjectStorage、 (3) SplDoublyLinkedList 。これらはシリアル化解除中に誤って処理されます。
 CVE-2015-6832 より前の 5.4.44、 5.5.x5.5.28より前の ]、 5.6.x より前の 5.6.12 PHP の ext/spl/spl_array.c の SPL unserialize 実装にある use-after-free の脆弱性により、リモートの攻撃者は、細工されたシリアル化データを通じて、任意のコードを実行することが可能です。これにより、配列フィールドの誤用が発生する可能性があります。
 CVE-2015-6833 より前 5.4.44、 5.5.x より前の 5.5.28、および より前の の PHP の PharData クラスのディレクトリトラバーサルの脆弱性により 5.6.x 、リモートの攻撃者が 5.6.12..である ZIP アーカイブエントリの ..ドットドットを介して任意のファイルに書き込むことが可能です。 extractTo 呼び出し中の不適切な処理。
 CVE-2015-6834
 **予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
 CVE-2015-6835
 **予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
 CVE-2015-68365.4.45より前、 より前の 、 5.5.x5.5.29より前の の PHP の ext/soap/soap.c の SoapClient __call メソッドが、ヘッダーを適切に管理しません。これにより、リモートの攻撃者が、細工されたシリアル化データを通じて 5.6.13 、任意のコードを実行することが可能です 5.6.x 。これは、serialize_function_call 関数で型の取り違えType Confusionを発生させます。
 CVE-2015-6837
 **予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
 CVE-2015-6838
 **予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
 CVE-2015-7803 PHP 以前および 5.6.x5.5.30 以前の 5.6.14 の ext/phar/util.c にある phar_get_entry_data 関数により、リモートの攻撃者が、細工された TAR を持つ .phar ファイルを介して、サービス拒否NULL ポインターデリファレンスおよびアプリケーションクラッシュを引き起こすことが可能です。リンクインジケーターが存在しないファイルを参照しているアーカイブエントリ。
 CVE-2015-7804 PHP 5.5.30 以前および 以前の の PHP の ext/phar/zip.c にある phar_parse_zipfile 関数の off-by-one エラーにより 5.6.x 、リモートの攻撃者が、初期化されていないポインターデリファレンスおよびアプリケーションクラッシュ 5.6.14 を、 .zip PHAR アーカイブ内の / ファイル名。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/6526

プラグインの詳細

深刻度: Critical

ID: 289070

ファイル名: miracle_linux_AXSA-2016-140.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/16

更新日: 2026/1/16

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

Vendor

Vendor Severity: Moderate

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2015-5589

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2015-6835

脆弱性情報

CPE: p-cpe:/a:miracle:linux:rh-php56-php-ldap, p-cpe:/a:miracle:linux:rh-php56-php-dbg, p-cpe:/a:miracle:linux:rh-php56-php-xml, p-cpe:/a:miracle:linux:rh-php56-php-opcache, p-cpe:/a:miracle:linux:rh-php56-php-gd, p-cpe:/a:miracle:linux:rh-php56-php-enchant, p-cpe:/a:miracle:linux:rh-php56-php-soap, p-cpe:/a:miracle:linux:rh-php56-php-fpm, p-cpe:/a:miracle:linux:rh-php56-php-xmlrpc, cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:rh-php56-php-intl, p-cpe:/a:miracle:linux:rh-php56-php-dba, p-cpe:/a:miracle:linux:rh-php56-php-mbstring, p-cpe:/a:miracle:linux:rh-php56-php-mysqlnd, p-cpe:/a:miracle:linux:rh-php56-php-process, p-cpe:/a:miracle:linux:rh-php56-php-embedded, p-cpe:/a:miracle:linux:rh-php56-php-gmp, p-cpe:/a:miracle:linux:rh-php56-php-snmp, p-cpe:/a:miracle:linux:rh-php56-php-pspell, p-cpe:/a:miracle:linux:rh-php56-php, p-cpe:/a:miracle:linux:rh-php56-php-recode, p-cpe:/a:miracle:linux:rh-php56-php-pgsql, p-cpe:/a:miracle:linux:rh-php56-php-pdo, p-cpe:/a:miracle:linux:rh-php56-php-bcmath, p-cpe:/a:miracle:linux:rh-php56-php-cli, p-cpe:/a:miracle:linux:rh-php56-php-odbc, p-cpe:/a:miracle:linux:rh-php56-php-devel, p-cpe:/a:miracle:linux:rh-php56-php-common

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2016/3/16

脆弱性公開日: 2015/7/13

参照情報

CVE: CVE-2015-5589, CVE-2015-5590, CVE-2015-6831, CVE-2015-6832, CVE-2015-6833, CVE-2015-6834, CVE-2015-6835, CVE-2015-6836, CVE-2015-6837, CVE-2015-6838, CVE-2015-7803, CVE-2015-7804