検出

MiracleLinux 4php-5.3.3-40.AXS4AXSA:2014-701:04

medium Nessus プラグイン ID 289663

Language:

概要

リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートの MiracleLinux 4 ホストには、AXSA:2014-701:04 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。

 説明:
 PHP は、HTML 組み込みスクリプト言語です。PHP は、開発者が動的に生成される Web ページを簡単に作成できるようにしています。PHP は、いくつかの商用および非商用のデータベース管理システム用のデータベース統合も提供しています。そのため、PHP でデータベース対応の Web ページを書き込むのは非常に簡単です。PHP コーディングが最も一般的に使用されるのは、おそらく CGI スクリプトの代替としてです。
 php パッケージには、Apache HTTP Server に PHP 言語のサポートを追加するモジュールが含まれています。
 このリリースで修正されたセキュリティ問題
 CVE-2014-3668 より前、 5.4.34より前の [ 5.5.x 、 5.5.18より前の 5.6.25.6.x のPHP の XMLRPC 拡張の libxmlrpc/xmlrpc.c の mkgmtime 実装にある date_from_ISO8601 関数のバッファオーバーフローにより、リモートの攻撃者がサービス拒否を引き起こすことが可能です領域外読み取り操作に関連して、(1) xmlrpc_set_type 関数に対する細工された最初の引数、または (2) xmlrpc_decode 関数に対する細工された引数を通じて、アプリケーションがクラッシュする可能性があります。
 CVE-2014-3669 より前 5.4.34、より 5.5.18前の 5.5.x 、および より 5.6.x 前の の PHP の ext/standard/var_unserializer.c の object_custom 関数の整数オーバーフローにより 5.6.2 、リモートの攻撃者がサービス拒否アプリケーションクラッシュを引き起こしたり、大きな長さの値の計算を誘発するシリアル化解除関数に対する引数を介して、任意のコードを実行する可能性があります。
 CVE-2014-3670 より前 5.4.34、より前の 、 5.5.x5.5.18より前の の PHP の EXIF 拡張の exif.c の exif_ifd_make_value 関数が 5.6.2 、浮動小数点配列で不適切に動作します。これにより 5.6.x 、リモートの攻撃者がサービス拒否を引き起こす可能性がありますサービス拒否 (ヒープメモリの破損とアプリケーションのクラッシュ) を引き起こしたり、
 CVE-2014-3710
 **予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
 修正されたバグ:
 * 以前は、準備されたステートメントがまだ存在していても、mysql リンクが閉じられる可能性がありました。そのため、これらのステートメントを実行すると、セグメンテーション違反が発生していました。この更新で、 はこれを修正しました。
 * 以前は、soap 呼び出しからホスト HTTP ヘッダーがありませんでした。そのため、HTTP リクエストは RFC2616 に準拠していませんでした。この更新で、 はこれを修正しました。
 * 以前は、php パッケージに oci_lob_load() 関数に関連するバグがありました。そのため、php OCI8 モジュールのコンパイルが失敗していました。この更新で、 はこれを修正しました。
 * 以前は、Session 拡張に対する Spl 拡張に対する依存関係が php パッケージから欠落していました。
 そのため、Spl はセッションの前に初期化されていませんでした。これにより、自動ロード機能が利用可能になっていました。この更新で、 はこれを修正しました。
 * 以前は、php パッケージに非静的メソッドの静的呼び出しの動作不一致がありました。そのため、非静的メソッド内部のコンテキストのクラス (name、static、またはself) からの呼び出しは、static-call につながります。この更新で、 はこれを修正しました。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/5161

プラグインの詳細

深刻度: Medium

ID: 289663

ファイル名: miracle_linux_AXSA-2014-701.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/16

更新日: 2026/1/16

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

Vendor

Vendor Severity: High

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2014-3669

CVSS v3

リスクファクター: Medium

基本値: 5.5

現状値: 5

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2014-3710

脆弱性情報

CPE: p-cpe:/a:miracle:linux:php-pgsql, p-cpe:/a:miracle:linux:php-pdo, p-cpe:/a:miracle:linux:php-mysql, p-cpe:/a:miracle:linux:php-xml, p-cpe:/a:miracle:linux:php, p-cpe:/a:miracle:linux:php-mbstring, p-cpe:/a:miracle:linux:php-gd, p-cpe:/a:miracle:linux:php-common, p-cpe:/a:miracle:linux:php-soap, p-cpe:/a:miracle:linux:php-bcmath, p-cpe:/a:miracle:linux:php-xmlrpc, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:php-ldap, p-cpe:/a:miracle:linux:php-cli, p-cpe:/a:miracle:linux:php-odbc

必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2014/11/4

脆弱性公開日: 2014/10/14

参照情報

CVE: CVE-2014-3668, CVE-2014-3669, CVE-2014-3670, CVE-2014-3710