Fedora 21:php-5.6.7-1.fc21(2015-4236)

medium Nessus プラグイン ID 82435
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Fedora ホストに、セキュリティ更新がありません。

説明

**2015 年 3 月 19 日、PHP 5.6.7**

コア:

- バグ #69174(使用されない内部クラスがトレイトの優先度を使用するときに漏洩)を修正。(Laruence)

- バグ #69139(シリアル化解除の gc_zval_possible_root のクラッシュ)を修正しました。(Laruence)

- バグ #69121(スクリプトのオーナーが ZTS ビルドで passwd にないときに get_current_user でセグメンテーション違反)を修正([email protected]

- バグ #65593(出力バッファリングコールバックから ob_start を呼び出すときのセグメンテーション違反)を修正しました。(Mike)

- バグ #68986(php_stream_fopen_temporary_file から戻されるポインターが memory.c で検証されない)を修正しました。([email protected]

- バグ #68166(無効な文字を伴う例外によるセグメンテーション違反)を修正しました。(Rasmus)

- バグ #69141(一部のビルトイン関数に反映情報の引数がない)を修正しました。([email protected]

- バグ #68976(unserialize() の use-after-free の脆弱性)を修正しました(CVE-2015-0231)。(Stas)

- バグ #69134(ディレクトリごとの値が PHP_INI_SYSTEM 構成オプションをオーバーライドする)を修正しました。(Anatol Belski)

- バグ #69207(move_uploaded_file のパスに NULL を設定可能)を修正しました。(Stas)

CGI:

- バグ #69015(php-cgi の getopt が $argv を無視)を修正。
(Laruence)

CLI:

- バグ #67741(auto_prepend_file が __LINE__ を混乱させている)を修正。
(Reeze Xia)

cURL:

- バグ #69088(PHP_MINIT_FUNCTION が Win32 で cURL を完全に初期化しない)を修正。(Grant Pannell)

- libcurl によりサポートされる場合、CURLPROXY_SOCKS4A および CURLPROXY_SOCKS5_HOSTNAME の定数を追加します。(Linus Unneback)

Ereg:

- バグ #69248(regcomp.c のヒープオーバーフローの脆弱性)を修正(CVE-2015-2305)。(Stas)

FPM:

- バグ #68822(リクエストタイムのリセットが早すぎる)を修正。
[email protected]

ODBC:

バグ #68964(odbc_exec によるメモリサイズの消耗が可能)を修正。(Anatol)

Opcache:

- バグ #69159(変数を関数に受け渡すときに Opcache が問題を起こす)を修正。(Dmitry、Laruence)

- バグ #69125(数値文字列を鍵として配列)を修正しました。
(Laruence)

- バグ #69038(スイッチ(SOMECONSTANT)の動作不良)を修正しました。
(Laruence)

OpenSSL:

- バグ #68912(openssl_spki_new のセグメンテーション違反)を修正。(Laruence)

- バグ #61285、#68329、#68046、#41631 (暗号化ストリームがソケットタイムアウトを順守しません)を修正。(Brad Broerman 氏)

- バグ #68920(厳格な peer_fingerprint 入力チェックの使用)を修正しました(Daniel Lowrey 氏)

- バグ #68879(subjectAltNames の IP アドレスフィールドが使用されない)を修正しました(Daniel Lowrey 氏)

- バグ #68265(末尾の DNS ドットで SAN の照合が失敗する)を修正しました(Daniel Lowrey 氏)

- バグ #67403(signatureType を openssl_x509_parse に追加する)を修正しました(Daniel Lowrey 氏)

- バグ #69195(バージョン間で整合性のないストリーム暗号の値)を修正しました(Daniel Lowrey 氏)

pgsql:

- バグ #68638(pg_update() が無限値を保存できない)を修正。([email protected]、Laruence)

Readline:

- バグ #69054(パラメーターなしの readline_(read|write)_history() の NULL 逆参照)を修正。
(Laruence)

SOAP:

- バグ #69085(unserialize() による SoapClient's __call() の型の取り違え(Type Confusion))を修正。([email protected]、Laruence)

SPL:

- バグ #69108(SplObjectStorage をシリアル化(解除)するときの「セグメンテーション違反」)を修正。(Laruence)

- バグ #68557(getChildren() を呼び出した後に RecursiveDirectoryIterator::seek(0) が破損)を修正しました。(Julien)

ZIP:

- バグ #69253(ZIP の整数オーバーフローによるヒープ境界を超える書き込み)を修正(CVE-2015-2331)。(Stas)

注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

影響を受ける php パッケージを更新してください。

関連情報

https://bugzilla.redhat.com/show_bug.cgi?id=1204868

http://www.nessus.org/u?2fbf862d

プラグインの詳細

深刻度: Medium

ID: 82435

ファイル名: fedora_2015-4236.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

公開日: 2015/3/31

更新日: 2021/1/11

依存関係: ssh_get_info.nasl

リスク情報

CVSS v2

リスクファクター: Medium

Base Score: 5.1

Temporal Score: 4.4

ベクトル: AV:N/AC:H/Au:N/C:P/I:P/A:P

現状ベクトル: E:ND/RL:OF/RC:C

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:php, cpe:/o:fedoraproject:fedora:21

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2015/3/21

脆弱性公開日: 2015/3/21

参照情報

BID: 72539

FEDORA: 2015-4236