Scientific Linux セキュリティ更新:SL6.x の php-pear

low Nessus プラグイン ID 61194
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Scientific Linux ホストに、セキュリティ更新がありません。

説明

php-pear パッケージには、再利用可能 PHP コンポーネント向けのフレームワークおよびディストリビューションシステムである PHP Extension および Application Repository(PEAR)が含まれています。

「pear」コマンドは、パッケージをインストールする場合に、機密保護されていない方法で一時ファイルを作成していることが見つかっています。悪意のあるローカルユーザーがこの欠陥を悪用して、シンボリックリンク攻撃を仕掛けることが可能でした。これにより、pear installコマンドを実行する被害者がアクセスできる任意のファイルのコンテンツを上書きすることが可能でした。(CVE-2011-1072)

この更新は以下のバグも修正します:

php-pear パッケージは、バージョン 1.9 4 にアップグレードされました。このバージョンは、前のバージョンにあった多数のバグを修正します。

- この更新の前、php-pear は全パッケージの一覧化を試みるときに「/var/cache/php-pear/」ディレクトリにキャッシュを作成していました。結果として、php-pear は、十分なファイル権限がないと標準ユーザーとしてキャッシュファイルの作成や更新ができず、全パッケージをリスト表示できませんでした。この更新により、キャッシュディレクトリへの書き込みが許可されていない場合に、php-pear が誤動作することがなくなりました。現在は、全パッケージが想定通りにリスト表示されます。

php-pear の全ユーザーは、この更新済みパッケージへアップグレードし、これらの問題を修正することが推奨されます。

ソリューション

影響を受ける php-pear パッケージを更新してください。

関連情報

http://www.nessus.org/u?61e379c9

プラグインの詳細

深刻度: Low

ID: 61194

ファイル名: sl_20111206_php_pear_on_SL6.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2012/8/1

更新日: 2021/1/14

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Low

Base Score: 3.3

ベクトル: AV:L/AC:M/Au:N/C:N/I:P/A:P

脆弱性情報

CPE: x-cpe:/o:fermilab:scientific_linux

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2011/12/6

参照情報

CVE: CVE-2011-1072