PHP 5.6.x < 5.6.6 の複数の脆弱性 (GHOST)

critical Web App Scanning プラグイン ID 98829

Language:

概要

説明

バナーによると、リモートホストにインストールされている PHP 5.6.x のバージョンは、5.6.6 より前です。したがって、以下の複数の脆弱性による影響を受けます。

- glibc 関数である __nss_hostname_digits_dots()、gethostbyname()、および gethostbyname2() におけるユーザー入力の不適切な検証による、GNU C ライブラリ (glibc)のヒープベースのバッファオーバーフローの欠陥。これにより、リモートの攻撃者はバッファオーバーフローを引き起こし、サービス拒否状態または任意のコードの実行を引き起こす可能性があります。(CVE-2015-0235)

- 「ext/date/php_date.c」スクリプト内の php_date_timezone_initialize_from_hash() 関数に、 use-after-free の欠陥が存在します。攻撃者がこれを悪用して、機密情報にアクセスしたり、 PHP にリンクされているアプリケーションをクラッシュさせたりする可能性があります。(CVE-2015-0273)

- XML データの不適切な解析により、PHP-FPM コンポーネントに XML 外部エンティティ (XXE)の欠陥が存在します。リモートの攻撃者が、これを悪用して、特別に細工された XML データを介して、機密情報の漏洩またはサービス拒否を引き起こす可能性があります。(CVE-2015-8866)

スキャナーはこれらの問題を悪用しようとしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。