php-pear-1.9.4-23.el7
エラータID: AXSA:2022-4004:01
リリース日:
2022/11/04 Friday - 06:34
題名:
php-pear-1.9.4-23.el7
影響のあるチャネル:
Asianux Server 7 for x86_64
Severity:
Moderate
Description:
以下項目について対処しました。
[Security Fix]
- php の Archive_Tar ライブラリには、phar: だけが
ブロックされており PHA: がブロックされていない問題が
あるため、ローカルの攻撃者により、シリアル化の解除を
可能とする脆弱性が存在します。(CVE-2020-28948)
- php の Archive_Tar ライブラリには、phar ファイルに
対してのみファイル名内の :// をサニタイズする問題が
あるため、その他のストリームラッパー攻撃が可能となる
脆弱性が存在します。(CVE-2020-28949)
- Archive_Tar の Tar.php 関数には、シンボリックリンクの
チェックに問題があるため、リモートの攻撃者により、
ディレクトリトラバーサルを介して、許可されていない
ファイルへの書き込み操作を可能とする脆弱性が存在します。
(CVE-2020-36193)
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2020-28948
Archive_Tar through 1.4.10 allows an unserialization attack because phar: is blocked but PHAR: is not blocked.
Archive_Tar through 1.4.10 allows an unserialization attack because phar: is blocked but PHAR: is not blocked.
CVE-2020-28949
Archive_Tar through 1.4.10 has :// filename sanitization only to address phar attacks, and thus any other stream-wrapper attack (such as file:// to overwrite files) can still succeed.
Archive_Tar through 1.4.10 has :// filename sanitization only to address phar attacks, and thus any other stream-wrapper attack (such as file:// to overwrite files) can still succeed.
CVE-2020-36193
Tar.php in Archive_Tar through 1.4.11 allows write operations with Directory Traversal due to inadequate checking of symbolic links, a related issue to CVE-2020-28948.
Tar.php in Archive_Tar through 1.4.11 allows write operations with Directory Traversal due to inadequate checking of symbolic links, a related issue to CVE-2020-28948.
追加情報:
N/A
ダウンロード:
SRPMS
- php-pear-1.9.4-23.el7.src.rpm
MD5: a0f2efb24d0ca5ebf6ff1519f7caafee
SHA-256: e1f6dd283ebd03725bd39f66d1a8f23354dc1a73a1c046bfe9acdc9755f27807
Size: 390.00 kB
Asianux Server 7 for x86_64
- php-pear-1.9.4-23.el7.noarch.rpm
MD5: a5b1bfe9e2f08aa691a0614bb02d20c3
SHA-256: ca07185025815507ac7874f471936df18ce3f25659c3cab74e444c640015a8f7
Size: 360.06 kB