GLSA-201408-11:PHP:複数の脆弱性

high Nessus プラグイン ID 77455
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートの Gentoo ホストでは、セキュリティに関連するパッチが少なくとも 1 つ不足しています。

説明

リモートホストは、GLSA-201408-11 で説明されている脆弱性の影響を受けます(PHP:複数の脆弱性)

PHP で複数の脆弱性が発見されました。詳細については、以下で参照されている CVE 識別子をレビューしてください。
影響:

コンテキスト依存の攻撃者が、任意のコードの実行やサービス拒否状態を引き起こしたり、任意のファイルを読み書きしたり、その他のサーバーへになりすましたり、Web セッションをハイジャックしたり、またはその他の詳細不明な影響を与えたりする可能性があります。
また、ローカルの攻撃者が、昇格された権限を取得する可能性があります。
回避策:

現時点で、既知の回避策はありません。

ソリューション

PHP 5.5 の全ユーザーは、最新バージョンにアップグレードする必要があります:
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-lang/php-5.5.16' PHP 5.4 の全ユーザーは、最新バージョンにアップグレードする必要があります:
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-lang/php-5.4.32' PHP 5.3 の全ユーザーは、最新バージョンにアップグレードする必要があります。このリリースは、 PHP 5.3 シリーズのファイルの最終版です。このシリーズの今後のリリースは計画されていません。PHP 5.3 のすべてのユーザーには、PHP 5.5 の現在の安定バージョン、または PHP 5.4 の以前の安定バージョンにアップグレードすることをお勧めします。少なくとも前者は 2016 年まで、後者は 2015 年までサポートされます。
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-lang/php-5.3.29'

関連情報

https://security.gentoo.org/glsa/201408-11

プラグインの詳細

深刻度: High

ID: 77455

ファイル名: gentoo_GLSA-201408-11.nasl

バージョン: 1.15

タイプ: local

公開日: 2014/8/30

更新日: 2021/1/6

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.9

ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:P

現状ベクトル: E:POC/RL:OF/RC:C

脆弱性情報

CPE: p-cpe:/a:gentoo:linux:php, cpe:/o:gentoo:linux

必要な KB アイテム: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2014/8/29

参照情報

CVE: CVE-2011-4718, CVE-2013-1635, CVE-2013-1643, CVE-2013-1824, CVE-2013-2110, CVE-2013-3735, CVE-2013-4113, CVE-2013-4248, CVE-2013-4635, CVE-2013-4636, CVE-2013-6420, CVE-2013-6712, CVE-2013-7226, CVE-2013-7327, CVE-2013-7345, CVE-2014-0185, CVE-2014-0237, CVE-2014-0238, CVE-2014-1943, CVE-2014-2270, CVE-2014-2497, CVE-2014-3597, CVE-2014-3981, CVE-2014-4049, CVE-2014-4670, CVE-2014-5120

BID: 58224, 58766, 60411, 60728, 60731, 61128, 61776, 61929, 62373, 64018, 64225, 65533, 65596, 65668, 66002, 66233, 66406, 67118, 67759, 67765, 67837, 68007, 68513, 69322, 69375

GLSA: 201408-11