Блог ОС CloudLinux - бета-версия: выпущен HardenedPHP 5.2 для EasyApache 4
Блог CloudLinux OS

Бета-версия: HardenedPHP 5.2 для EasyApache 4 выпущен

Бета-версия: HardenedPHP 5.2 для EasyApache 4 выпущен

Новый файл HardenedPHP 5.2 для Easypache 4 доступен в бета-репозитории EA4.

Список изменений:

php52-и-5.2.17-5

  • CVE-2010-1861 php: уязвимость прерывания shm_put_var (MOPS-2010-009);
  • CVE-2010-2191 php: множественные уязвимости прерывания (MOPS-2010-0 [49,50,51,52,53,54,55]);
  • CVE-2011-0421 php / libzip: segfault с FL_UNCHANGED в пустом архиве в zip_name_locate ();
  • CVE-2011-0708 php: переполнение буфера в расширении Exif;
  • CVE-2011-1092 php: целочисленное переполнение в shmop_read ();
  • CVE-2011-1148 php: уязвимость после использования в substr_replace ();
  • CVE-2011-1938 php: переполнение буфера на основе стека в socket_connect ();
  • CVE-2011-2202 php: уязвимость в процессе загрузки файла в файле RFC1867;
  • CVE-2011-4566 php: целочисленное переполнение в exif_process_IFD_TAG () может привести к DoS или произвольному раскрытию памяти;
  • CVE-2012-0830 php: ошибка удаленного кода, введенная в исправление hashdos CVE-2011-4885;
  • CVE-2012-1172 php: $ _FILES массив индексов коррупции;
  • CVE-2012-1823 php: ввод аргументов командной строки при запуске в режиме CGI (VU # 520827);
  • CVE-2012-2311 php: неполное исправление CVE-2012-1823 - неверная проверка для =;
  • CVE-2012-2336 php: неполное исправление CVE-2012-1823 - отсутствие фильтрации -T и -h;
  • CVE-2012-2386 php: Целочисленное переполнение, приводящее к переполнению кучного буфера в расширении Phar;
  • CVE-2013-4248 php: имя хоста проверяет обход уязвимости в клиенте SSL;
  • CVE-2013-6420 php: повреждение памяти в openssl_x509_parse ();
  • CVE-2014-3597 php: избыточное переполнение буфера в php_parserr;
  • CVE-2014-3668 php: xmlrpc Формат даты в формате ISO8601, выходящий за пределы, прочитанный в mkgmtime ();
  • CVE-2014-3669 php: целочисленное переполнение в unserialize ();
  • CVE-2014-3670 php: проблема с кучей коррупции в exif_thumbnail ();
  • CVE-2014-4049 php: переполнение буфера на основе кучи в анализе записи DNS TXT;
  • CVE-2014-5120 php: расширение gd NUL байтовая инъекция в именах файлов;
  • CVE-2014-9425 php: Double-free в zend_ts_hash_graceful_destroy ();
  • CVE-2014-9705 php: переполнение буфера кучи в enchant_broker_request_dict ();
  • CVE-2015-0235 glibc: __nss_hostname_digits_dots () переполнение буфера на основе кучи;
  • CVE-2015-2301 php: использовать после бесплатного использования в phar_object.c;
  • CVE-2015-2326 pcre: переполнение буфера кучи в pcre_compile2 () (8.37 / 23);
  • CVE-2015-2331 libzip: целочисленное переполнение при обработке ZIP-архивов;
  • CVE-2015-2348 php: move_uploaded_file () NUL байтовая инъекция в имени файла;
  • CVE-2015-2783 php: переполнение буфера при анализе метаданных Phar;
  • CVE-2015-2787 php: уязвимость после использования в функции process_nested_data в ext / standard / var_unserializer.re;
  • CVE-2015-3329 php: переполнение буфера в phar_set_inode ();
  • CVE-2015-3330 php: конвейерный запрос, выполняемый в деинициализированном интерпретаторе в httpd 2.4;
  • CVE-2015-3411 php: отсутствие нулевого байта проверяет пути в различных расширениях PHP;
  • CVE-2015-3412 php: отсутствие нулевого байта проверяет пути в различных расширениях PHP;
  • CVE-2015-4021 php: повреждение памяти в файле phar_parse_tarfile, вызванное пустым именем файла записи;
  • CVE-2015-4022 php: целочисленное переполнение, приводящее к переполнению кучи при чтении списка файлов FTP;
  • CVE-2015-4024 php: разбор массива / формы данных для синтаксического анализа использования ЦП DoS;
  • CVE-2015-4025 php: регрессии CVE-2006-7243 в 5.4 +;
  • CVE-2015-4026 php: pcntl_exec () принимает пути с символом NUL;
  • CVE-2015-4147 php: путаница типа SoapClient __call () через unserialize ();
  • CVE-2015-4148 php: путаница типа do_soap_call () SoapClient после unserialize ();
  • CVE-2015-4598 php: отсутствие нулевого байта проверяет пути в расширениях DOM и GD;
  • CVE-2015-4599 CVE-2015-4600 CVE-2015-4601 php: проблема путаницы типа в unserialize () с различными методами SOAP;
  • CVE-2015-4602 php: путаница типа незамерзающего класса;
  • CVE-2015-4603 php: exception :: ошибка путаницы типа getTraceAsString после unserialize;
  • CVE-2015-5590 php: переполнение буфера и ошибка разбиения стека в phar_fix_filepath;
  • CVE-2015-6833 php: файлы из архива могут быть извлечены за пределами каталога назначения с помощью phar;
  • CVE-2015-6835 php: уязвимость после использования в сеансе десериализатора;
  • CVE-2015-6836 php: путаница типа SOAP serialize_function_call ();
  • CVE-2015-6837 CVE-2015-6838 php: разворот указателя NULL в классе XSLTProcessor;
  • CVE-2015-8879 php: odbc_bindcols функция поведения mishandles для столбцов SQL_WVARCHAR;
  • CVE-2016-3074 php: уязвимость подписи, вызывающая переполнение кучи в libgd;
  • CVE-2016-4343 php: неинициализированный указатель в phar_make_dirstream ();
  • CVE-2016-4537 CVE-2016-4538 php: bcpowmod принимает отрицательный масштаб, заставляя переполнение буфера кучи искажать _one_ definition;
  • CVE-2016-4540 CVE-2016-4541 php: OOB читается в grapheme_stripos и grapheme_strpos, когда используется отрицательное смещение;
  • CVE-2016-4542 CVE-2016-4543 CVE-2016-4544 php: память кучи за пределами границ, прочитанная в exif_read_data (), вызванная неправильным вводом;
  • CVE-2016-5093 php: неправильное завершение nul, приводящее к превышению границ в read_icu_value_internal;
  • CVE-2016-5094 php: Целочисленное переполнение в php_html_entities ();
  • CVE-2016-5399 php: неправильная обработка ошибок в bzread ();
  • CVE-2016-5766 gd: Целочисленное переполнение в _gd2GetHeader () приводит к переполнению кучи;
  • CVE-2016-5772 php: Двойная свободная коррупция в wddx_deserialize;
  • CVE-2016-6288 php: перечитывание буфера в php_url_parse_ex;
  • CVE-2016-6289 php: Целочисленное переполнение приводит к переполнению буфера в virtual_file_ex;
  • CVE-2016-6290 php: использование после free в unserialize () с десериализацией неожиданного сеанса;
  • CVE-2016-6291 php: доступ за пределами границ в exif_process_IFD_in_MAKERNOTE;
  • CVE-2016-6294 php: доступ за пределами границ в locale_accept_from_http;
  • CVE-2016-6296 php: уязвимость переполнения буфера heap в simpleestring_addn в файле simpleestring.c;
  • CVE-2016-6297 php: уязвимость переполнения буфера на основе стека в php_stream_zip_opener;
  • CVE-2016-7413 php: использование после бесплатного использования в wddx_deserialize;
  • CVE-2016-7414 php: Нечеткая куча читается при проверке подписи zip-phar в файле phar_parse_zipfile;
  • CVE-2016-7416 php: переполнение буфера на основе стека в msgfmt_format_message;
  • CVE-2016-7418 php: разворот нулевого указателя в php_wddx_push_element;
  • CVE-2016-8670 gd, php: переполнение буфера на основе стека в dynamicGetbuf.

Примечание: Пока нет поддержки FPM в ea-php52.

Для установки выполните команду:

yum install ea-php52 * --exclude = ea-php52-php-recode, ea-php52-php-ioncube5, ea-php52-php --enablerepo = cl-ea4-тестирование

Обновлен Alt-PHP
Beta: обновление ядра ​​CloudLinux 5

Комментарии

Нет комментариев на форуме. Будьте первым, чтобы оставить свой комментарий
Уже зарегистрирован? ВОЙТИ
гость
Понедельник, 14 октября 2019

Защитный код изображение