Mandriva Linux セキュリティアドバイザリ:php-ZendFramework(MDVSA-2013:115)
medium Nessus プラグイン ID 66127
Language:
概要
リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。説明
更新 php-ZendFramework パッケージは、セキュリティの脆弱性を修正します。1.11.13 および 1.12.0 以前の Zend Framework の Zend_Dom、Zend_Feed、Zend_Soap、および Zend_XmlRpc は、XML エンティティ拡張(XEE)ベクトルに脆弱であり、サービス拒否のベクトルにつながります。XEE 攻撃は、XML DOCTYPE 宣言に XML エンティティ定義が含まれ、その中に再帰または循環参照が含まれるときに発生します。これにより、CPU およびメモリ消費が発生して、実装するには小事にすぎるサービス拒否の悪用が実行される可能性があります(ZF2012-02)。
1.11.15 および 1.12.1 以前の Zend Framework のバージョンで脆弱性が報告されており、特定の機密情報の漏洩のために悪用される可能性があります。この欠陥は、XML データを処理する際の、Zend_Feed コンポーネントの Zend_Feed_Rss および Zend_Feed_Atom クラスのエラーにより発生します。外部エンティティ参照を含む特別に細工された XML データを送信することで、特定のローカルファイルの内容を漏洩するために使用される可能性があります(CVE-2012-5657、ZF2012-05)。
ソリューション
影響を受けるパッケージを更新してください。プラグインの詳細
深刻度: Medium
ID: 66127
ファイル名: mandriva_MDVSA-2013-115.nasl
バージョン: 1.11
タイプ: local
公開日: 2013/4/20
更新日: 2021/1/6
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.4
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
脆弱性情報
CPE: p-cpe:/a:mandriva:linux:php-zendframework, p-cpe:/a:mandriva:linux:php-zendframework-cache-backend-apc, p-cpe:/a:mandriva:linux:php-zendframework-cache-backend-memcached, p-cpe:/a:mandriva:linux:php-zendframework-captcha, p-cpe:/a:mandriva:linux:php-zendframework-dojo, p-cpe:/a:mandriva:linux:php-zendframework-feed, p-cpe:/a:mandriva:linux:php-zendframework-gdata, p-cpe:/a:mandriva:linux:php-zendframework-pdf, p-cpe:/a:mandriva:linux:php-zendframework-search-lucene, p-cpe:/a:mandriva:linux:php-zendframework-services, p-cpe:/a:mandriva:linux:php-zendframework-demos, p-cpe:/a:mandriva:linux:php-zendframework-extras, p-cpe:/a:mandriva:linux:php-zendframework-tests, cpe:/o:mandriva:business_server:1
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/4/10
参照情報
CVE: CVE-2012-5657
BID: 56982
MDVSA: 2013:115
MGASA: 2012-0367