php-8.0.30-1.el9

エラータID: AXSA:2023-6528:03

リリース日:

2023/10/21 Saturday - 09:18

題名:

php-8.0.30-1.el9

影響のあるチャネル:

MIRACLE LINUX 9 for x86_64

Severity:

High

Description:

以下項目について対処しました。

[Security Fix]
- PHP の password_verify() 関数には、不正な形式の Blowfish ハッシュ
値を有効なものとして取り扱ってしまう問題があるため、ローカルの
攻撃者により、アプリケーションが不正なパスワードを有効なもの
として処理してしまうことを可能とする脆弱性が存在します。
(CVE-2023-0567)

- PHP のパス解決関数には、割り当てるバッファサイズが 1 バイト分
不足しているためにバッファの範囲外に NULL 値が書き込まれてしまう
問題があるため、リモートの攻撃者により、システムで設定された
MAXPATHLEN の値に近い長さのパスの解決を介して、不正なデータ
の読み取りや書き込みを可能とする脆弱性が存在します。
(CVE-2023-0568)

- PHP には、Web ページのフォームからアップロードされる情報の数
が多すぎる場合、大量のログのエントリ数を消費してしまう問題がある
ため、リモートの攻撃者により、リソース枯渇に伴うサービス拒否攻撃
を可能とする脆弱性が存在します。(CVE-2023-0662)

- PHP には、SOAP HTTP ダイジェスト認証を利用する場合、乱数値の
生成の失敗をチェックしておらず想定よりも狭い範囲の乱数を使用して
しまう問題があるため、リモートの攻撃者により、ナンスの推測を可能
とする脆弱性が存在します。(CVE-2023-3247)

- PHP には、外部エンティティ参照の制限に問題があるため、リモート
の攻撃者により、外部エンティティを読み込んだ状態で外部 XML を
解析することを介して、PHP からアクセス可能な任意のローカル
ファイルの読み取りを可能とする脆弱性が存在します。
(CVE-2023-3823)

- PHP の PHAR ディレクトリエントリの読み込み処理には、ファイル
名の長さの検証に問題があるため、リモートの攻撃者により、バッファ
オーバーフローの発生とこれに起因するメモリ破壊やリモートコード
実行を可能とする脆弱性が存在します。(CVE-2023-3824)

解決策:

パッケージをアップデートしてください。

CVE:

CVE-2023-0567
In PHP 8.0.X before 8.0.28, 8.1.X before 8.1.16 and 8.2.X before 8.2.3, password_verify() function may accept some invalid Blowfish hashes as valid. If such invalid hash ever ends up in the password database, it may lead to an application allowing any password for this entry as valid.

CVE-2023-0568
In PHP 8.0.X before 8.0.28, 8.1.X before 8.1.16 and 8.2.X before 8.2.3, core path resolution function allocate buffer one byte too small. When resolving paths with lengths close to system MAXPATHLEN setting, this may lead to the byte after the allocated buffer being overwritten with NUL value, which might lead to unauthorized data access or modification.

CVE-2023-0662
In PHP 8.0.X before 8.0.28, 8.1.X before 8.1.16 and 8.2.X before 8.2.3, excessive number of parts in HTTP form upload can cause high resource consumption and excessive number of log entries. This can cause denial of service on the affected server by exhausting CPU resources or disk space.

CVE-2023-3247
In PHP versions 8.0.* before 8.0.29, 8.1.* before 8.1.20, 8.2.* before 8.2.7 when using SOAP HTTP Digest Authentication, random value generator was not checked for failure, and was using narrower range of values than it should have. In case of random generator failure, it could lead to a disclosure of 31 bits of uninitialized memory from the client to the server, and it also made easier to a malicious server to guess the client's nonce.

CVE-2023-3823
In PHP versions 8.0.* before 8.0.30, 8.1.* before 8.1.22, and 8.2.* before 8.2.8 various XML functions rely on libxml global state to track configuration variables, like whether external entities are loaded. This state is assumed to be unchanged unless the user explicitly changes it by calling appropriate function. However, since the state is process-global, other modules - such as ImageMagick - may also use this library within the same process, and change that global state for their internal purposes, and leave it in a state where external entities loading is enabled. This can lead to the situation where external XML is parsed with external entities loaded, which can lead to disclosure of any local files accessible to PHP. This vulnerable state may persist in the same process across many requests, until the process is shut down.

CVE-2023-3824
In PHP version 8.0.* before 8.0.30, 8.1.* before 8.1.22, and 8.2.* before 8.2.8, when loading phar file, while reading PHAR directory entries, insufficient length checking may lead to a stack buffer overflow, leading potentially to memory corruption or RCE.

追加情報:

N/A

ダウンロード:

SRPMS

php-8.0.30-1.el9.src.rpm
MD5: d83af28ffa295c1310a7d99348b70cf5
SHA-256: 818fc27cc9100f5e376e2ee3b4124bd12c67ae326cbb2332715c881dde02a816
Size: 10.49 MB

Asianux Server 9 for x86_64

php-8.0.30-1.el9.x86_64.rpm
MD5: 1ae2deff2e326f318487dd9a3246edfa
SHA-256: 8219bbb67317e376a65e70a5cfecd29cc7d45b5406e0047a595dab60145fc726
Size: 7.69 kB
php-bcmath-8.0.30-1.el9.x86_64.rpm
MD5: 58ab1f46ac4ddc8b7e7171c89197e6f1
SHA-256: fed4f28d19476777689539a324b5a7264ce02f9ba28c501e3b64d1308189b3e4
Size: 32.82 kB
php-cli-8.0.30-1.el9.x86_64.rpm
MD5: 22e56a8e747c826474edd4aa2cfe6288
SHA-256: 27e6b4f2a1c43131941a27bbd5acfcb971f878d363ed5128071873c795c794e5
Size: 3.09 MB
php-common-8.0.30-1.el9.x86_64.rpm
MD5: ae5f3aef67d637a4790c35ffa8a7c6b7
SHA-256: d5426f43a8a0b7e33d25898789506611ca0a68cca0e74aca934c9c4536399d66
Size: 664.84 kB
php-dba-8.0.30-1.el9.x86_64.rpm
MD5: 67e24779b209c3c6f7daa77a41cb427b
SHA-256: c820b5bbbfb254b33521f1412ac72056f8b60460e22ec4467b1a651fa1ed1cf5
Size: 32.29 kB
php-dbg-8.0.30-1.el9.x86_64.rpm
MD5: 296e214730e464d350f8e022708f3091
SHA-256: 999cbf642ec69256e043e7ca9ad481947e33f23bcb87bd069f9811a20a75fc41
Size: 1.63 MB
php-devel-8.0.30-1.el9.x86_64.rpm
MD5: d7d990d566913a30feac0c802ab71262
SHA-256: 482badc34c09405e95c8d8c3b09277fea5ab2f7d0f4d3b7ea3d114add08fcf7d
Size: 655.66 kB
php-embedded-8.0.30-1.el9.x86_64.rpm
MD5: 5b419948292a63e40cb534740e270278
SHA-256: dfb62a9d68f1e7c3ccf702188e4ee3fb300562dad9b9d053406fd01e3b4a7023
Size: 1.52 MB
php-enchant-8.0.30-1.el9.x86_64.rpm
MD5: 19c521e18f70fdff23496ea87febf924
SHA-256: d25896d261467f8ade467c4835c71756280f93fd27a464b69053e3a70571b78e
Size: 17.36 kB
php-ffi-8.0.30-1.el9.x86_64.rpm
MD5: 3418fe764fed54e23a1425f5ecb91889
SHA-256: f98acbc19b2b5ab52e0d90573ab86ddeda52c6beb56f056927d3cb22ecbc12fc
Size: 72.30 kB
php-fpm-8.0.30-1.el9.x86_64.rpm
MD5: 8932a3d819b3cb4706df5fbede0831c3
SHA-256: 54b62bc62b4bce72e1c0d77b4f7a21cc426d02281c065fa7ba2a6ce1d837dbd0
Size: 1.59 MB
php-gd-8.0.30-1.el9.x86_64.rpm
MD5: 9698fe4b6485f0fe01c714a85c3aa120
SHA-256: 5da184b2c0e44d587c9a0d1b046d34173b8f87782f6037cd7e712f18b939d67c
Size: 38.84 kB
php-gmp-8.0.30-1.el9.x86_64.rpm
MD5: 193608b0c02a3f53730cb674fbc97f4a
SHA-256: fadebe1c0fc351cf9819f3a8db91de1fa50b85f70efd38825d13caa57d31ae40
Size: 29.33 kB
php-intl-8.0.30-1.el9.x86_64.rpm
MD5: 65015347a79dac4e6eadf9b4104ae0d1
SHA-256: 1e45b69ac0c877709918651a55b9afdb9277cd74fa5da7760f13106f6c6ede44
Size: 147.23 kB
php-ldap-8.0.30-1.el9.x86_64.rpm
MD5: 8851198c001968397dc6425f8316da63
SHA-256: 57ea6268a805604f28a2bc983e54238c88e49d9575ad64553096228632516512
Size: 38.63 kB
php-mbstring-8.0.30-1.el9.x86_64.rpm
MD5: c60788f7d42edd5258b2de25840b1904
SHA-256: ce2aa48df30dd16d7a68e6b3bca769b2fc01e81602a0eb59d7e94b4111ae5431
Size: 465.46 kB
php-mysqlnd-8.0.30-1.el9.x86_64.rpm
MD5: 57f08e0e2d94a4d42ecc9d639a167ae1
SHA-256: 54ac5221993cbe38fa05a0c224d89026dafcae6c05f25d145f253b7c0b8272ad
Size: 148.53 kB
php-odbc-8.0.30-1.el9.x86_64.rpm
MD5: 8477824273c308eac94f74b50819a345
SHA-256: adb87261079fe252b891a0479135a728f5720428f26dc9499520e7684d9367f4
Size: 42.77 kB
php-opcache-8.0.30-1.el9.x86_64.rpm
MD5: 8781e3e646211f3ec72efb3888499832
SHA-256: e23741c9f58d78bb0268b06ab2820384657df67c7a51e7f66e58714c2260ccc0
Size: 509.18 kB
php-pdo-8.0.30-1.el9.x86_64.rpm
MD5: 5c1af91372d56ed872fc091b4fc24494
SHA-256: c0d9f8dae43cc026195c9691a37b3cf555e60a56b5ac8c0b58752d18c3caf3ee
Size: 80.53 kB
php-pgsql-8.0.30-1.el9.x86_64.rpm
MD5: f9a6463f25e1f81c8563cfd612784d22
SHA-256: 8768e09e7ed20b345928a95ae18e4b2d48dc144c075fa77378cb873eca47d948
Size: 70.51 kB
php-process-8.0.30-1.el9.x86_64.rpm
MD5: f0e88b496164a2936396650047e4df38
SHA-256: a16e1c9ffb7ce101c7d905f3f6c9ab483ea8de757f616f96a7c763b5b41be2d1
Size: 39.61 kB
php-snmp-8.0.30-1.el9.x86_64.rpm
MD5: db7e15ec6e10cb61d44f1091ca3ccca4
SHA-256: 23c31e41b6dd355b07f157e562093a1ff4a45484ddc474dec5b1d79ffe431289
Size: 29.39 kB
php-soap-8.0.30-1.el9.x86_64.rpm
MD5: 53c9e8d1944b6444ea64966466b4424d
SHA-256: 76950b8897bf5616d114748af93511a55dc1aa0744a26249400470f8640fc808
Size: 132.42 kB
php-xml-8.0.30-1.el9.x86_64.rpm
MD5: 0ae20c37d1e3903d14cd2444e3b5e98d
SHA-256: 6c779a1bae875ec290086408768210dfcefe3997ad94526a775796d7c2a8dfae
Size: 131.47 kB

English

Main menu

You are here

php-8.0.30-1.el9