FreeBSD:pecl-phar -- 書式文字列の脆弱性(da3d381b-0ee6-11e0-becc-0022156e8794)
medium Nessus プラグイン ID 56499
Language:
概要
リモート FreeBSD ホストには、セキュリティ関連の更新がありません。説明
CVE-2010-2094 のエントリ:5.3.2 より前の PHP 5.3 における phar 拡張の複数の書式文字列の脆弱性により、コンテキスト依存の攻撃者が、機密情報(メモリコンテンツ)を入手したり、細工された phar:// URI を介して任意のコードを実行したりする可能性があります。これは (1) phar_stream_flush、(2) phar_wrapper_unlink、(3) phar_parse_url、または (4) ext/phar/stream.c の phar_wrapper_open_url 関数、(5) ext/phar/dirstream.c の phar_wrapper_open_dir 関数により適切に処理されず、php_stream_wrapper_log_error 関数でエラーを発生させます。
PHAR 拡張の PECL ソースコードは同じコードを共有するため、これも脆弱です。
ソリューション
影響を受けるパッケージを更新してください。参考資料
http://www.nessus.org/u?7758038f
http://www.nessus.org/u?8c91f223
http://www.nessus.org/u?246338fe
http://www.nessus.org/u?dba86c39
プラグインの詳細
深刻度: Medium
ID: 56499
ファイル名: freebsd_pkg_da3d381b0ee611e0becc0022156e8794.nasl
バージョン: 1.6
タイプ: local
公開日: 2011/10/14
更新日: 2021/1/6
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Medium
基本値: 6.8
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:pecl-phar, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
パッチ公開日: 2011/1/13
脆弱性公開日: 2010/12/13
参照情報
CVE: CVE-2010-2094