CentOS 5:php53(CESA-2011:0196)

medium Nessus プラグイン ID 53416

概要

リモート CentOS ホストに1つ以上のセキュリティ更新がありません。

説明

3 件のセキュリティ問題を修正する更新済みの php53 パッケージが、 Red Hat Enterprise Linux 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

PHP は、Apache HTTP Server で一般的に使用される、 HTML を組み込んだスクリプト言語です。

PHP が特定の浮動小数点の値を文字列表示から数値に変換する方法に欠陥が見つかりました。PHP スクリプトが数値コンテキストで攻撃者の入力を評価した場合、PHP インタープリターは、スクリプト実行時間制限に達するまで高い CPU 使用率を引き起こす可能性があります。この問題は i386 システムにのみ影響を与えました。
(CVE-2010-4645)

PHP filter_var() 関数が電子メールアドレスを検証する方法に、スタックメモリ枯渇の欠陥が見つかりました。攻撃者がこの欠陥を悪用して、検証するメールアドレスとして過剰に長い入力を提供することで、PHP インタープリターをクラッシュさせることができます。(CVE-2010-3710)

PHP マルチバイト文字列拡張にメモリ漏洩の欠陥が見つかりました。mb_strcut() 関数が入力文字列サイズを超える長さの引数で呼び出された場合、この関数が PHP インタープリターのメモリの一部を漏洩させる可能性があります。(CVE-2010-4156)

php53 の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正する必要があります。更新したパッケージをインストールした後、更新を有効にするために httpd デーモンを再起動する必要があります。

ソリューション

影響を受ける php53 パッケージを更新してください。

参考資料

http://www.nessus.org/u?9629ba3f

http://www.nessus.org/u?4e6a84dc

プラグインの詳細

深刻度: Medium

ID: 53416

ファイル名: centos_RHSA-2011-0196.nasl

バージョン: 1.9

タイプ: local

エージェント: unix

公開日: 2011/4/15

更新日: 2021/1/4

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

Base Score: 5

Temporal Score: 3.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:centos:centos:php53, p-cpe:/a:centos:centos:php53-bcmath, p-cpe:/a:centos:centos:php53-cli, p-cpe:/a:centos:centos:php53-common, p-cpe:/a:centos:centos:php53-dba, p-cpe:/a:centos:centos:php53-devel, p-cpe:/a:centos:centos:php53-gd, p-cpe:/a:centos:centos:php53-imap, p-cpe:/a:centos:centos:php53-intl, p-cpe:/a:centos:centos:php53-ldap, p-cpe:/a:centos:centos:php53-mbstring, p-cpe:/a:centos:centos:php53-mysql, p-cpe:/a:centos:centos:php53-odbc, p-cpe:/a:centos:centos:php53-pdo, p-cpe:/a:centos:centos:php53-pgsql, p-cpe:/a:centos:centos:php53-process, p-cpe:/a:centos:centos:php53-pspell, p-cpe:/a:centos:centos:php53-snmp, p-cpe:/a:centos:centos:php53-soap, p-cpe:/a:centos:centos:php53-xml, p-cpe:/a:centos:centos:php53-xmlrpc, cpe:/o:centos:centos:5

必要な KB アイテム: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2011/4/14

脆弱性公開日: 2010/10/25

参照情報

CVE: CVE-2010-3710, CVE-2010-4156, CVE-2010-4645

BID: 43926, 44727, 45668

RHSA: 2011:0196