云安全日报220705:红帽PHP解释器发现执行任意代码漏洞,需要尽快升级
7月4日,红帽发布了安全更新,修复了红帽PHP嵌入式脚本语言解释器中发现的执行任意代码漏洞。以下是漏洞详情:
漏洞详情
来源:https://access.redhat.com/errata/RHSA-2022:5491
1.CVE-2022-31625 CVSS评分:8.1 严重程度:重要
由于 pg_query_params() 函数中的未初始化数组,在 PHP 中发现了一个漏洞。使用 Postgres 数据库扩展时,为参数化查询提供无效参数可能会导致 PHP 尝试使用未初始化的数据作为指针来释放内存。该漏洞允许远程攻击者控制查询参数在系统上执行任意代码或可能导致拒绝服务。
2.CVE-2022-31626 CVSS评分:7.5 严重程度:高
在 mysqlnd_wireprotocol.c 中处理 mysqlnd/pdo 中的密码时,在 PHP 中发现了一个缓冲区溢出漏洞。当使用带有 mysqlnd 驱动程序的 pdo_mysql 扩展时,如果允许第三方为连接主机提供密码,过长的密码会触发 PHP 中的缓冲区溢出。该漏洞允许远程攻击者通过 PDO 将密码(过长)传递给 MySQL 服务器,从而触发目标系统上的任意代码执行。
3.CVE-2021-21703 CVSS评分:6.4 严重程度:中等
php-fpm 有一个漏洞,可能导致本地权限提升。此漏洞很难利用,因为攻击需要逃避 FPM 沙箱机制。当实现完整的攻击时,可能会导致机密性、数据完整性和系统可用性方面的风险。
4.CVE-2021-21707 CVSS评分:5.3 严重程度:中等
在 php.ini 中发现了一个缺陷。此漏洞的主要原因是在解析可扩展标记语言 (XML) 实体时输入验证不正确。特殊字符可能允许攻击者遍历目录。此漏洞的最大威胁是机密性。
受影响产品和版本
Red Hat Software Collections (for RHEL Server) 1 for RHEL 7 x86_64
Red Hat Software Collections (for RHEL Server for System Z) 1 for RHEL 7 s390x
Red Hat Software Collections (for RHEL Server for IBM Power LE) 1 for RHEL 7 ppc64le
Red Hat Software Collections (for RHEL Workstation) 1 for RHEL 7 x86_64
解决方案
RedHat官方已经为Red Hat Software Collections提供rh-php73-php的安全更新。安装更新的软件包后,必须重新启动 httpd 守护程序才能使更新生效。
有关如何应用此更新的详细信息,请参阅:
https://access.redhat.com/articles/11258
查看更多漏洞信息 以及升级请访问官网:
https://access.redhat.com/security/security-updates/#/security-advisories
您可能也感兴趣:
官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

想在手机上看科技资讯和科技八卦吗?
想第一时间看独家爆料和深度报道吗?
请关注TechWeb官方微信公众帐号:
1.用手机扫左侧二维码;
2.在添加朋友里,搜索关注TechWeb。
为您推荐
宝马将在墨西哥投资8.63亿美元 生产高压电池和纯电动汽车
自动驾驶技术公司Waymo也已裁员 多个部门有员工被裁
马斯克:过去三个月非常艰难 推特现在正趋于收支平衡
谷歌3亿美元投资ChatGPT竞品 加速绑定AI新贵
总投资53.1亿元 东风EV新能源将在襄阳建设乘用车基地
OpenAI首席技术官:ChatGPT可能会被滥用 应受到监管
3月下旬上市 飞凡F7正式发布:最高续航666km,预售价28-35万元
苹果明年有望推出更高端版iPhone 配更大屏幕更快芯片价格也更高
人人视频遭奈飞、索尼、迪士尼等多家海外影视公司起诉
更多
- 腾讯成立职业技能培训学校 由腾讯教育科技公司全资持股
- 总投资53.1亿元 东风EV新能源将在襄阳建设乘用车基地
- 3月下旬上市 飞凡F7正式发布:最高续航666km,预售价28-35万元
- Gurman:苹果或在2024年推出比Pro Max款更高端的iPhone,采用无接口设计
- 人人视频遭奈飞、索尼、迪士尼等多家海外影视公司起诉
- 亚马逊云业务2022年营收突破800亿美元 贡献40.5%业务增长
- 采埃孚将投资 Wolfspeed 的下一代 200mm 碳化硅工厂
- 欧冶半导体完成数亿元A1轮融资 打造“全车智能”的芯片底座
- ChatGPT引爆 百度2023开门红股价已涨近36%
- 京东云架构师揭秘DevOps平台八大关键特性