php:8.1 security update

エラータID: AXSA:2024-7477:01

リリース日: 
2024/01/30 Tuesday - 11:53
題名: 
php:8.1 security update
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- PHP の password_verify() 関数には、不正な形式の
Blowfish ハッシュ値を有効なものとして取り扱ってしまう
問題があるため、ローカルの攻撃者により、アプリケーション
が不正なパスワードを有効なものとして処理してしまうことを
可能とする脆弱性が存在します。(CVE-2023-0567)

- PHP の パス解決関数には、割り当てるバッファサイズが
1 バイト分不足しているためにバッファの範囲外に NULL 値
が書き込まれてしまう問題があるため、リモートの攻撃者に
より、 システムで設定された MAXPATHLEN の値に近い長さの
パスの解決を介して、不正なデータの読み取りや書き込みを
可能とする脆弱性が存在します。(CVE-2023-0568)

- PHP には、Web ページのフォームからアップロードされる
情報の数が多すぎる場合、大量のログのエントリ数を消費して
しまう問題があるため、リモートの攻撃者により、リソース
枯渇に伴うサービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2023-0662)

- PHP には、SOAP HTTP ダイジェスト認証を利用する場合、
乱数値の生成の失敗をチェックしておらず想定よりも狭い範囲
の乱数を使用してしまう問題があるため、リモートの攻撃者に
より、ナンスの推測を可能とする脆弱性が存在します。
(CVE-2023-3247)

- PHP には、外部エンティティ参照の制限に問題があるため、
リモートの攻撃者により、外部エンティティを読み込んだ状態
で外部 XML を解析することを介して、PHP からアクセス可能
な任意のローカルファイルの読み取りを可能とする脆弱性が
存在します。(CVE-2023-3823)

- PHP の PHAR ディレクトリエントリの読み込み処理には、
ファイル名の長さの検証に問題があるため、リモートの攻撃者
により、バッファオーバーフローの発生とこれに起因する
メモリ破壊やリモートコード実行を可能とする脆弱性が存在
します。(CVE-2023-3824)

Modularity name: php
Stream name: 8.1

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2023-0567
In PHP 8.0.X before 8.0.28, 8.1.X before 8.1.16 and 8.2.X before 8.2.3, password_verify() function may accept some invalid Blowfish hashes as valid. If such invalid hash ever ends up in the password database, it may lead to an application allowing any password for this entry as valid.
CVE-2023-0568
In PHP 8.0.X before 8.0.28, 8.1.X before 8.1.16 and 8.2.X before 8.2.3, core path resolution function allocate buffer one byte too small. When resolving paths with lengths close to system MAXPATHLEN setting, this may lead to the byte after the allocated buffer being overwritten with NUL value, which might lead to unauthorized data access or modification.
CVE-2023-0662
In PHP 8.0.X before 8.0.28, 8.1.X before 8.1.16 and 8.2.X before 8.2.3, excessive number of parts in HTTP form upload can cause high resource consumption and excessive number of log entries. This can cause denial of service on the affected server by exhausting CPU resources or disk space.
CVE-2023-3247
In PHP versions 8.0.* before 8.0.29, 8.1.* before 8.1.20, 8.2.* before 8.2.7 when using SOAP HTTP Digest Authentication, random value generator was not checked for failure, and was using narrower range of values than it should have. In case of random generator failure, it could lead to a disclosure of 31 bits of uninitialized memory from the client to the server, and it also made easier to a malicious server to guess the client's nonce.
CVE-2023-3823
In PHP versions 8.0.* before 8.0.30, 8.1.* before 8.1.22, and 8.2.* before 8.2.8 various XML functions rely on libxml global state to track configuration variables, like whether external entities are loaded. This state is assumed to be unchanged unless the user explicitly changes it by calling appropriate function. However, since the state is process-global, other modules - such as ImageMagick - may also use this library within the same process, and change that global state for their internal purposes, and leave it in a state where external entities loading is enabled. This can lead to the situation where external XML is parsed with external entities loaded, which can lead to disclosure of any local files accessible to PHP. This vulnerable state may persist in the same process across many requests, until the process is shut down.
CVE-2023-3824
In PHP version 8.0.* before 8.0.30, 8.1.* before 8.1.22, and 8.2.* before 8.2.8, when loading phar file, while reading PHAR directory entries, insufficient length checking may lead to a stack buffer overflow, leading potentially to memory corruption or RCE.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. php-pecl-apcu-5.1.21-1.module+el9+1025+8b61acaf.src.rpm
    MD5: 931f32d4b2a86fb2cc578b290920d902
    SHA-256: 1243aac0dae615faf21e92b62f3c7426b55defb16741ff82b3d635d6cf9e5c34
    Size: 102.56 kB
  2. php-pecl-rrd-2.0.3-4.module+el9+1025+8b61acaf.src.rpm
    MD5: edaf2d8ef9cd7dee76a146409c63bc44
    SHA-256: 9b5a8062be029a5f67246cf291d280d821a3215fdbcdac187a20068004905d60
    Size: 29.67 kB
  3. php-pecl-xdebug3-3.1.4-1.module+el9+1025+8b61acaf.src.rpm
    MD5: b219239b3e98ed1fe236a6d9fef6c7ac
    SHA-256: 6cb56495ea485a0023f25340fbbf5124a8ca2ddbdc692661797145930ec9250d
    Size: 434.61 kB
  4. php-pecl-zip-1.20.1-1.module+el9+1025+8b61acaf.src.rpm
    MD5: 3e9185af07c443b6e86111b6f04bedc4
    SHA-256: 1caa210e51e7fe38b66087cf317df3f47c04e6bd9fd2126d133f96082829a841
    Size: 353.14 kB
  5. php-8.1.27-1.module+el9+1025+8b61acaf.src.rpm
    MD5: 13e1c6c540f938ef367937dd397dbd14
    SHA-256: 4ede4e9cd0b9e1c65abb5b1f42043df8cf921c11652c48f6589990c9a457f957
    Size: 11.48 MB

Asianux Server 9 for x86_64
  1. apcu-panel-5.1.21-1.module+el9+1025+8b61acaf.noarch.rpm
    MD5: e1478d5e51ac1d45ca0347c4ec2c0221
    SHA-256: 2ff249e5166ba68a28ee50d45ea5f2aa5a8afabf327d1226a74a7082e46f3fa9
    Size: 18.69 kB
  2. php-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: fc2fb17ca73a0f93ca2df18670947a6d
    SHA-256: 9dc3dabbb81119793506e216fc1dd412c4ffd5d850496e61331e4777b53bf7f7
    Size: 7.56 kB
  3. php-bcmath-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: 5ee6d67e3d99880ca37691cab09e9829
    SHA-256: 4fb8d0f7592e6ce5e77a08974ed8d9c89d5e13e6cfc3f45095b8e08f18fb27d8
    Size: 32.68 kB
  4. php-cli-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: 9745b5ab8a4567ed89fcdbc34d55749e
    SHA-256: add2d4b08716aa8476fcf2f5e464211670e549a58b77df1ff44e691615bac230
    Size: 3.49 MB
  5. php-common-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: 5737e15c9d1e257968d3cf9735bdef3d
    SHA-256: 5d02c7c3c02bf930e931e2bff76a07db783ca1db9d6ce28265b5e4dccec31e49
    Size: 674.37 kB
  6. php-dba-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: aadfda03495e1ee1ad9c5503714f9677
    SHA-256: 79cc6d39d32193644923128b4289670b3aebdf56d5b9a25bcd61a794959a3c5b
    Size: 32.09 kB
  7. php-dbg-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: 69b30954bfb2a8bdfee5a44565ff4fe7
    SHA-256: 4717a9e003720e60ffbf6f177957aa2bb22a5ccc001c5019e3d635083f5fcbca
    Size: 1.80 MB
  8. php-debugsource-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: 2b61bdd9f46f153fa773a89d1185ad76
    SHA-256: 4a34d6fcfebaaaa14fa7c5bc890d2367ecfc37aa801c16b156411542be3f9722
    Size: 3.89 MB
  9. php-devel-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: a728e67f9000abfb7b3981a0461659db
    SHA-256: d74811472395de92f223c5dbfc52a2bd08f849a05058aaf69d6e4891c88276cd
    Size: 679.66 kB
  10. php-embedded-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: 97684f97f91aa064e3ee76c30f8faf98
    SHA-256: dfc7beabbb2ea09ee14f920fc6eb36eb185e18ca1558793a1fee25c552c52d9a
    Size: 1.71 MB
  11. php-enchant-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: f1daa2ec763278c8e7b57420ef46b52d
    SHA-256: e6962ccee2c8f23eabec820e660d0d1063abddfa7521d47855c58dbd7c1d579b
    Size: 17.14 kB
  12. php-ffi-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: e6eeeb7b5335ba1d145262db72b74b72
    SHA-256: 8331241fb9991163d7092cc6b95ee9291ef25e1618c15a05a3950e1326a53283
    Size: 75.10 kB
  13. php-fpm-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: 51a847b13892f4b7cc35adc9dc73d269
    SHA-256: 41740c7fa5ab185606c037e3c82bf50e0c0eb19e8c7e42db40a84f92d9c269da
    Size: 1.80 MB
  14. php-gd-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: e069ca5d1a2f448a5239db5410aa5540
    SHA-256: 4a3f25c34a96aad94c1b22c0165bad999f18f2eec11e3499450edbc429a710ce
    Size: 39.84 kB
  15. php-gmp-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: 4b313297206e0b4cca21895dd99790d9
    SHA-256: a2e23bbbe20504410af8dec6373b905f7cfb2fb8db1066f3cf8761dbd5688896
    Size: 29.70 kB
  16. php-intl-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: 17e66fe6f6393ca68049e8f32e472874
    SHA-256: 7fbf58d6d57d383a7491267221581f68fc5c0572b31b15076343c8a229b1d723
    Size: 150.91 kB
  17. php-ldap-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: 5ab8eec2eebf77a5b4a6344f6c5dfec5
    SHA-256: 9b9af2a366880ca9d69ab9a2ab37b4728843ee930f83baf4261c96235d1fdd75
    Size: 40.55 kB
  18. php-mbstring-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: 73f76eddaee6b5de81633fac73d464d1
    SHA-256: 7be59c69f93ccc1eb1a400e5b4ed9ac0f83216af5e9f972f3d933b8b1f727518
    Size: 470.94 kB
  19. php-mysqlnd-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: e4762ff23a620c178613a5988fab4d90
    SHA-256: cf8847f721ff86e8216ed2de265b5346fdb5d3dcb6e67277629aeb7daed52c97
    Size: 142.37 kB
  20. php-odbc-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: caecbd6d0ccb42ecf005cb7f97ce2e4c
    SHA-256: f0041f7f473747f906363d98c24570b0d01949a4825d1d74b1b93d09606c4dbe
    Size: 43.44 kB
  21. php-opcache-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: 7258963e65cc6b2b7625e1f6b29cdfc7
    SHA-256: 3f39ef3dd3784f6c82799565b56fb467637569504628510d635230b92968c2d9
    Size: 374.56 kB
  22. php-pdo-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: 33525038ef13f0395bac876d392565e3
    SHA-256: 0bcbf8dd42b2726ba8eb5f015217b89d73dd637e32152013aadd1210a77f0256
    Size: 81.05 kB
  23. php-pecl-apcu-5.1.21-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: 7b0c3aff8ecaa7a4a5483b5f00a33a6b
    SHA-256: a9c48912e47fa28d3b3db0d88df16c3515019f85c45587ac7a02eea71db3aca8
    Size: 58.10 kB
  24. php-pecl-apcu-debugsource-5.1.21-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: ccd53f1ba64c6dd6b78c7e9517c3ead5
    SHA-256: d52c05c093f75a0e73a1b493c2e9b5d57fd3619d460d0f95d0dc9a10f847de76
    Size: 44.80 kB
  25. php-pecl-apcu-devel-5.1.21-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: f81d0731e8eb17795db171caed50b9ef
    SHA-256: 9bb07baf119cbdf2a4874724c0b71510e126245c606f8281236abb512e55d379
    Size: 44.25 kB
  26. php-pecl-rrd-2.0.3-4.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: 25346eb80f2164f498571901abb5b0cf
    SHA-256: 4ba839c920b308b36befd1fc5f362d206f6ef03139b77423a74b0cacb21d8840
    Size: 26.29 kB
  27. php-pecl-rrd-debugsource-2.0.3-4.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: 57d0ed208dd975938fb7a611ae2ef9ab
    SHA-256: d3190ac8c845d7002cc0df5dbe01a391b42761f27ae13bad5f16e9cf212c6d79
    Size: 17.68 kB
  28. php-pecl-xdebug3-3.1.4-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: 556cddc87bdccf29c160a3484469b4b2
    SHA-256: 76770cf81075fb8524d72ab28edc2a2e46753b2459a12a23f89debc65ed6aab4
    Size: 195.65 kB
  29. php-pecl-xdebug3-debugsource-3.1.4-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: 56858777813cac115f3e03f0b47e04c5
    SHA-256: 1db51980994ae773f9805c953213f05b79f07f35416c01b66be2d9c8dd80b015
    Size: 134.86 kB
  30. php-pecl-zip-1.20.1-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: 5026be31d269d4a4bfe4b16e9ec667e8
    SHA-256: f4c107774264fad11911ccffdf6b8408c81b18f76f449536aff9425ce897adf4
    Size: 54.86 kB
  31. php-pecl-zip-debugsource-1.20.1-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: ac1671e0f9f78a3e821952ebd8fd8831
    SHA-256: c631f17f7aed27e2f43ddd99cca3ce71b389011f1abc9ae5d2840127393fb497
    Size: 27.98 kB
  32. php-pgsql-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: 47a3dd0a8c5a270e485411e1244e9dee
    SHA-256: 5c2327f0184ce3adc16b1b95d50653509c6104b79628671484b22d09d62d0f22
    Size: 72.67 kB
  33. php-process-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: dc940133aec00e3e410c400723a716b2
    SHA-256: b0b172f3f9451f889c5dfd24e4829e84a05300ea9f84e67c8b41c5db1877cc87
    Size: 39.60 kB
  34. php-snmp-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: fb4d7ecf0031488e9529f4e79f9764c4
    SHA-256: 7ec3cbb0a530560e79fdedaf18c9ea6137130f29ce540b1572e425f0ea13e4ed
    Size: 30.46 kB
  35. php-soap-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: c856b5fca4efd5c177e612206b80d3a3
    SHA-256: ddc171ceb1670407ee8d6bb8c5777247411f096870ecda068db26c9dd1ec0883
    Size: 137.92 kB
  36. php-xml-8.1.27-1.module+el9+1025+8b61acaf.x86_64.rpm
    MD5: 91bd6de231cc35c740c956cc20739fbd
    SHA-256: ca9818ba5a10bcbe5cc6d1358095b105c73137e62e3300af60e7364c4a156214
    Size: 141.94 kB