Fedora 22：php-ZendFramework2/php-zendframework-zendxml（2016-03c0ed3127）

high Nessus プラグイン ID 92053

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新がありません。

説明

## 2.4.10（2016/05/09）

- 有効な文字に対して例外を与える HeaderValue を修正します

## 2.4.9（2015/11/23）

### SECURITY UPDATES

- **ZF2015-09**：「Zend\Captcha\Word」は文字セットからランダムな文字列を選択することにより、CAPTCHA チャレンジに対して「word」を生成します。この脆弱性が発表される前に、PHP の内部「array_rand()」関数を使用してこの選択が実行されました。この関数は、「openssl_pseudo_random_bytes()」などのより暗号的に安全なメソッドではなく「rand()」を使用するため、十分なエントロピーを生成しません。
これにより、攻撃者が乱数発生器に対してブルートフォースを実行できる場合、情報漏洩が引き起こされる可能性があります。このリリースには、「Zend\Math\Rand::getInteger()」を使用するように「array_rand()」呼び出しを置換して、より優れた RNG を提供するパッチが含まれています。

- **ZF2015-10**：「Zend\Crypt\PublicKey\Rsa\PublicKey」は、「OPENSSL_PKCS1_PADDING」を指定する PHP のデフォルト「$padding」引数を使用した「openssl_public_encrypt()」への呼び出しを行い、PKCS1v1.5 パディングの使用率を表示します。このパディングには、[Bleichenbacher の選択型暗号化テキスト攻撃]（http://crypto.stackexchange.com/questions/12688/can-you-explain-bleichenbachers-cca-attack-on-pkcs1-v1-5）と呼ばれる既知の脆弱性があります。この脆弱性は、RSA 秘密鍵の復元に利用される可能性があります。このリリースには、「OPENSSL_PKCS1_OAEP_PADDING」を使用するようにパディング引数を変更するパッチが含まれています。

このバージョンにアップグレードするユーザーは、パディングの変更により、以前保存した値の復号化に関する問題が発生する可能性があります。この問題が発生した場合、コンスタント「OPENSSL_PKCS1_PADDING」を「Zend\Crypt\PublicKey\Rsa::encrypt()」と「decrypt()」の新しい「$padding」引数に渡すことができます（ただし、これは通常後者にのみ適用されるべきものです）：

```php $decrypted = $rsa->decrypt（$data、$key、$mode、OPENSSL_PKCS1_PADDING）；```

ここでは、「$rsa」は「Zend\Crypt\PublicKey\Rsa」のインスタンスです。

（以前に使用していない場合、「$key」および「$mode」引数のデフォルト値は「null」および「Zend\Crypt\PublicKey\Rsa::MODE_AUTO」となっています。）

新しいデフォルト値を使用するこのような値を再暗号化することを推奨します。

注意：Tenable Network Security は、前述の説明ブロックを Fedora 更新システム Web サイトから直接抽出しています。
Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。