php-pear-1.9.4-23.el7

エラータID: AXSA:2022-4004:01

リリース日: 
2022/11/04 Friday - 06:34
題名: 
php-pear-1.9.4-23.el7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- php の Archive_Tar ライブラリには、phar: だけが
ブロックされており PHA: がブロックされていない問題が
あるため、ローカルの攻撃者により、シリアル化の解除を
可能とする脆弱性が存在します。(CVE-2020-28948)

- php の Archive_Tar ライブラリには、phar ファイルに
対してのみファイル名内の :// をサニタイズする問題が
あるため、その他のストリームラッパー攻撃が可能となる
脆弱性が存在します。(CVE-2020-28949)

- Archive_Tar の Tar.php 関数には、シンボリックリンクの
チェックに問題があるため、リモートの攻撃者により、
ディレクトリトラバーサルを介して、許可されていない
ファイルへの書き込み操作を可能とする脆弱性が存在します。
(CVE-2020-36193)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2020-28948
Archive_Tar through 1.4.10 allows an unserialization attack because phar: is blocked but PHAR: is not blocked.
CVE-2020-28949
Archive_Tar through 1.4.10 has :// filename sanitization only to address phar attacks, and thus any other stream-wrapper attack (such as file:// to overwrite files) can still succeed.
CVE-2020-36193
Tar.php in Archive_Tar through 1.4.11 allows write operations with Directory Traversal due to inadequate checking of symbolic links, a related issue to CVE-2020-28948.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. php-pear-1.9.4-23.el7.src.rpm
    MD5: a0f2efb24d0ca5ebf6ff1519f7caafee
    SHA-256: e1f6dd283ebd03725bd39f66d1a8f23354dc1a73a1c046bfe9acdc9755f27807
    Size: 390.00 kB

Asianux Server 7 for x86_64
  1. php-pear-1.9.4-23.el7.noarch.rpm
    MD5: a5b1bfe9e2f08aa691a0614bb02d20c3
    SHA-256: ca07185025815507ac7874f471936df18ce3f25659c3cab74e444c640015a8f7
    Size: 360.06 kB