検出

Fedora 19:php-5.5.3-1.fc19(2013-14998)

medium Nessus プラグイン ID 69462

Language:

概要

リモート Fedora ホストに、セキュリティ更新がありません。

説明

バージョン 5.5.3、2013 年 8 月 22 日

Openssl:+ CVE-2013-4248 の修正における UMR を修正しました。

バージョン 5.5.2、2013 年 8 月 15 日

コア:

- バグ #65372(参照を返すことに失敗する場合の gc_zval_possible_root でのセグメンテーション違反)を修正しました。

- FILTER_SANITIZE_FULL_SPECIAL_CHARS 定数の値を修正しました(以前は、誤って FILTER_SANITIZE_SPECIAL_CHARS 値に設定されていました)。

- バグ #65304(array_sum での最大 int の使用)を修正しました。

- バグ #65291(極めて限られた状況で get_defined_constants() が PHP をクラッシュさせる)を修正しました。

- バグ #62691(solaris の sed に -i スイッチがない)を修正しました。

- バグ #61345(CGI モード - make install が機能しない)を修正しました。

- バグ #61268(--enable-dtrace により make が Zend/zend_dtrace.d を上書きする)を修正しました。

DOM:

- DOMDocument::schemaValidate() および DOMDocument::schemaValidateSource() にフラグオプションを追加しました。LIBXML_SCHEMA_CREATE フラグを追加しました。

OPcache:

- opcache.restrict_api 構成ディレクティブを追加しました。これは、OPcahce API の関数の使用を特定のスクリプトのみに限定する場合があります。

- ブラックリストエントリで glob 記号(?、*、**)に対するサポートを追加しました。

- バグ #65338(シャットダウン時に php_opcache および php_wincache の両方の AV を有効にする)を修正しました。

Openssl:

subjectAltName の NULL バイト処理を修正(CVE-2013-4248)。

PDO_mysql:

- バグ #65299(pdo mysql の解析エラー)を修正しました。

Phar:

- バグ #65028(Phar::buildFromDirectory が一部の特定のコンテンツに対して破損したアーカイブを作成する)を修正しました。

Pgsql:

- バグ #62978(pg_select()/pg_update()/pg_delete()/pg_insert() で引き起こす SQL インジェクションを許可しない)を修正しました。

- バグ #65336(pg_escape_literal/identifier() がサイレントに false を返す)を修正しました。

セッション:

- セッション固定攻撃およびセッション競合から保護する、厳格なセッション RFC(https://wiki.php.net/rfc/strict_sessions)を実装しました(CVE-2011-4718)。

- Windows で引き起こすバッファオーバーフローを修正しました。注:
セキュリティ修正ではありません。

- session.auto_start を PHP_INI_PERDIR に変更しました。

SOAP:

- バグ #65018(SoapServer に関する SoapHeader の問題)を修正しました。

SPL:

- バグ #65328(SplStack のオブジェクト値を取得する際のセグメンテーション違反)を修正しました。

- RecursiveTreeIterator の setPostfix および getPostifx のメソッドを追加しました。

- バグ #61697(spl_autoload_functions が lambda 関数を誤って返す)を修正しました。

ストリーム:

- バグ #65268(select() の実装で旧式のティック API を使用している)を修正しました。

注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

影響を受ける php パッケージを更新してください。

参考資料

https://bugzilla.redhat.com/show_bug.cgi?id=996774

https://bugzilla.redhat.com/show_bug.cgi?id=997097

http://www.nessus.org/u?cad3df9a

https://wiki.php.net/rfc/strict_sessions

プラグインの詳細

深刻度: Medium

ID: 69462

ファイル名: fedora_2013-14998.nasl

バージョン: 1.12

タイプ: local

エージェント: unix

公開日: 2013/8/25

更新日: 2021/1/11

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.3

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:php, cpe:/o:fedoraproject:fedora:19

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/8/19

参照情報

CVE: CVE-2011-4718, CVE-2013-4248

BID: 61776, 61929

FEDORA: 2013-14998