Amazon Linux AMI：php54（ALAS-2015-509）

high Nessus プラグイン ID 82856

Language:

概要

リモート Amazon Linux AMI ホストに、セキュリティ更新がありません。

説明

PHP の phar（PHP アーカイブ）実装に、バッファオーバーフローの脆弱性が見つかりました。詳細については、https://bugs.php.net/bug.php?id=69324 を参照してください。(CVE-2015-2783)

PHP の phar（PHP アーカイブ）パス実装に、use-after-free の欠陥が見つかりました。悪意のあるスクリプトの作者はこの欠陥を利用して、サーバーメモリの特定部分を開示することができます。(CVE-2015-2301)

GD ライブラリにバッファオーバーリードの欠陥が見つかりました。特別に細工された GIF ファイルにより、gdImageCreateFromGif() 関数を使用するアプリケーションがクラッシュする可能性があります。(CVE-2014-9709)

PHP の pgsql 拡張に、NULL ポインターデリファレンスの欠陥が見つかりました。pg_insert() または pg_select() として関数に渡される特別に細工されたテーブル名により、 PHP アプリケーションがクラッシュする可能性があります。(CVE-2015-1352)

PHPの Phar 拡張が Phar アーカイブを解析する方法で、バッファオーバーフローの欠陥が見つかりました。特別に細工されたアーカイブが開かれた場合、PHP がクラッシュしたり、任意のコードが実行されたりする可能性があります。
(CVE-2015-3329)

ソリューション

「yum update php54」を実行してシステムを更新してください。

参考資料

https://bugs.php.net/bug.php?id=69324

https://alas.aws.amazon.com/ALAS-2015-509.html

プラグインの詳細

深刻度: High

ID: 82856

ファイル名: ala_ALAS-2015-509.nasl

バージョン: 1.8

タイプ: local

エージェント: unix

ファミリー: Amazon Linux Local Security Checks

公開日: 2015/4/20

更新日: 2018/4/18

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:amazon:linux:php54, p-cpe:/a:amazon:linux:php54-bcmath, p-cpe:/a:amazon:linux:php54-cli, p-cpe:/a:amazon:linux:php54-common, p-cpe:/a:amazon:linux:php54-dba, p-cpe:/a:amazon:linux:php54-debuginfo, p-cpe:/a:amazon:linux:php54-devel, p-cpe:/a:amazon:linux:php54-embedded, p-cpe:/a:amazon:linux:php54-enchant, p-cpe:/a:amazon:linux:php54-fpm, p-cpe:/a:amazon:linux:php54-gd, p-cpe:/a:amazon:linux:php54-imap, p-cpe:/a:amazon:linux:php54-intl, p-cpe:/a:amazon:linux:php54-ldap, p-cpe:/a:amazon:linux:php54-mbstring, p-cpe:/a:amazon:linux:php54-mcrypt, p-cpe:/a:amazon:linux:php54-mssql, p-cpe:/a:amazon:linux:php54-mysql, p-cpe:/a:amazon:linux:php54-mysqlnd, p-cpe:/a:amazon:linux:php54-odbc, p-cpe:/a:amazon:linux:php54-pdo, p-cpe:/a:amazon:linux:php54-pgsql, p-cpe:/a:amazon:linux:php54-process, p-cpe:/a:amazon:linux:php54-pspell, p-cpe:/a:amazon:linux:php54-recode, p-cpe:/a:amazon:linux:php54-snmp, p-cpe:/a:amazon:linux:php54-soap, p-cpe:/a:amazon:linux:php54-tidy, p-cpe:/a:amazon:linux:php54-xml, p-cpe:/a:amazon:linux:php54-xmlrpc, cpe:/o:amazon:linux

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

パッチ公開日: 2015/4/17

参照情報

CVE: CVE-2014-9709, CVE-2015-1352, CVE-2015-2301, CVE-2015-2783, CVE-2015-3329

ALAS: 2015-509