Scientific Linux セキュリティ更新：SL6.x の php-pear

low Nessus プラグイン ID 61194

Language:

概要

リモート Scientific Linux ホストに、セキュリティ更新がありません。

説明

php-pear パッケージには、再利用可能 PHP コンポーネント向けのフレームワークおよびディストリビューションシステムである PHP Extension および Application Repository（PEAR）が含まれています。

「pear」コマンドは、パッケージをインストールする場合に、機密保護されていない方法で一時ファイルを作成していることが見つかっています。悪意のあるローカルユーザーがこの欠陥を悪用して、シンボリックリンク攻撃を仕掛けることが可能でした。これにより、pear installコマンドを実行する被害者がアクセスできる任意のファイルのコンテンツを上書きすることが可能でした。（CVE-2011-1072）

この更新は以下のバグも修正します：

php-pear パッケージは、バージョン 1.9 4 にアップグレードされました。このバージョンは、前のバージョンにあった多数のバグを修正します。

- この更新の前、php-pear は全パッケージの一覧化を試みるときに「/var/cache/php-pear/」ディレクトリにキャッシュを作成していました。結果として、php-pear は、十分なファイル権限がないと標準ユーザーとしてキャッシュファイルの作成や更新ができず、全パッケージをリスト表示できませんでした。この更新により、キャッシュディレクトリへの書き込みが許可されていない場合に、php-pear が誤動作することがなくなりました。現在は、全パッケージが想定通りにリスト表示されます。

php-pear の全ユーザーは、この更新済みパッケージへアップグレードし、これらの問題を修正することが推奨されます。