私の友人は、CentOS で vbulletin 3.8.7 と PHP 5.2.17 を実行するときにセキュリティ上の懸念があるかどうか疑問に思っていました。PHP 5.2.17 は CVE-2012-2688 および CVE-2012-2386 に対して脆弱であることがわかりましたが、vbulletin が Phar 拡張機能を利用しているのか、それともユーザー入力を受け入れる scandir() 関数を利用しているのかはわかりません。vbulletin の情報源に詳しい人は、私の友人がこれらの脆弱性について心配する必要があるかどうか教えてもらえますか?
質問する
911 次
1 に答える
0
vB が何をするのかという質問は、公式の vB フォーラムに適していますが、CentOS の CVE のステータスを簡単に確認できます。
CentOS は、Red Hat Enterprise Linux から派生したものです。RHEL が対応した CVE は、数週間以内に CentOS に導入されます。
- CVE-2012-2386は、RHEL によって重大度が「中」と評価されました。
php53RHEL5 のphpパッケージと RHEL6のパッケージにパッチが適用されています。5.1 では PHAR を実行できないため、vanilla RHEL5のphpパッケージは 5.1 に更新されませんでした。 - CVE-2012-2688は、RHEL によって重大度が「低」と評価されており、パッチは適用されていません。CVE のリンクをたどってみましたが、エクスプロイトとは何か、どのようにそれをトリガーするかについての有用な情報がまったく不足していました。それはすべて、バグ番号をリストせずに、バグがあり、それが修正されたことを単にリストする PHP 変更ログにつながります。
しかし、脂肪のギラつきには大きな問題があります。
- RHEL 5 には PHP 5.1 が同梱されており、PHP 5.3 は別のパッケージとして提供されます。
- RHEL 6 には PHP 5.3 が同梱されています。
PHP 5.2 を実行しています。 RHEL または CentOS のリリースで5.2 が提供されたことはありません。これらの RPM は外部ソースから取得したため、そのソースに確認して、変更がバックポートされているかどうかを確認する必要があります。していないと仮定します。
PHP の更新にRemi のリポジトリを使用することを検討してください。Remi は、最終的に RHEL になるディストリビューションのアップストリーム ソースである Fedora ディストリビューションの PHP パッケージ マネージャーです。
于 2012-12-27T04:58:43.697 に答える