Mandriva Linux Security Advisory : php (MDVSA-2010:254)

medium Nessus Plugin ID 51196

Language:

New! Plugin Severity Now Using CVSS v3

The calculated severity for Plugins has been updated to use CVSS v3 by default. Plugins that do not have a CVSS v3 score will fall back to CVSS v2 for calculating severity. Severity display preferences can be toggled in the settings dropdown.

Synopsis

The remote Mandriva Linux host is missing one or more security updates.

Description

This is a maintenance and security update that upgrades php to 5.3.4 for 2010.0/2010.1.

Security Enhancements and Fixes in PHP 5.3.4 :

- Paths with NULL in them (foo\0bar.txt) are now considered as invalid (CVE-2006-7243).

- Fixed bug #53512 (NumberFormatter::setSymbol crash on bogus values) (CVE-2010-4409)

Please note that CVE-2010-4150, CVE-2010-3870, CVE-2010-3436, CVE-2010-3709, CVE-2010-3710 were fixed in previous advisories.

Key Bug Fixes in PHP 5.3.4 include :

- Added stat support for zip stream.

- Added follow_location (enabled by default) option for the http stream support.

- Added a 3rd parameter to get_html_translation_table. It now takes a charset hint, like htmlentities et al.

- Implemented FR #52348, added new constant ZEND_MULTIBYTE to detect zend multibyte at runtime.

- Multiple improvements to the FPM SAPI.

- Over 100 other bug fixes.

Additional post 5.3.4 fixes :

- Fixed bug #53517 (segfault in pgsql_stmt_execute() when postgres is down).

- Fixed bug #53541 (format string bug in ext/phar).

Additionally some of the PECL extensions has been upgraded and/or rebuilt for the new php version.

Solution

Update the affected packages.

See Also

https://bugs.php.net/bug.php?id=53517

https://bugs.php.net/bug.php?id=53541

http://www.php.net/ChangeLog-5.php#5.3.4

Plugin Details

Severity: Medium

ID: 51196

File Name: mandriva_MDVSA-2010-254.nasl

Version: 1.16

Type: local

Published: 12/16/2010

Updated: 1/6/2021

Dependencies: ssh_get_info.nasl

Risk Information

VPR

Risk Factor: Medium

Score: 5.9

CVSS v2

Risk Factor: Medium

Base Score: 6.8

Temporal Score: 5.3

Vector: AV:N/AC:M/Au:N/C:P/I:P/A:P

Temporal Vector: E:POC/RL:OF/RC:C

Vulnerability Information

CPE: p-cpe:/a:mandriva:linux:apache-mod_php, p-cpe:/a:mandriva:linux:lib64php5_common5, p-cpe:/a:mandriva:linux:libphp5_common5, p-cpe:/a:mandriva:linux:php-apc, p-cpe:/a:mandriva:linux:php-apc-admin, p-cpe:/a:mandriva:linux:php-bcmath, p-cpe:/a:mandriva:linux:php-bz2, p-cpe:/a:mandriva:linux:php-calendar, p-cpe:/a:mandriva:linux:php-cgi, p-cpe:/a:mandriva:linux:php-cli, p-cpe:/a:mandriva:linux:php-ctype, p-cpe:/a:mandriva:linux:php-curl, p-cpe:/a:mandriva:linux:php-dba, p-cpe:/a:mandriva:linux:php-devel, p-cpe:/a:mandriva:linux:php-dio, p-cpe:/a:mandriva:linux:php-doc, p-cpe:/a:mandriva:linux:php-dom, p-cpe:/a:mandriva:linux:php-eaccelerator, p-cpe:/a:mandriva:linux:php-eaccelerator-admin, p-cpe:/a:mandriva:linux:php-enchant, p-cpe:/a:mandriva:linux:php-exif, p-cpe:/a:mandriva:linux:php-fam, p-cpe:/a:mandriva:linux:php-fileinfo, p-cpe:/a:mandriva:linux:php-filepro, p-cpe:/a:mandriva:linux:php-filter, p-cpe:/a:mandriva:linux:php-fpm, p-cpe:/a:mandriva:linux:php-ftp, p-cpe:/a:mandriva:linux:php-gd, p-cpe:/a:mandriva:linux:php-gearman, p-cpe:/a:mandriva:linux:php-gettext, p-cpe:/a:mandriva:linux:php-gmp, p-cpe:/a:mandriva:linux:php-hash, p-cpe:/a:mandriva:linux:php-iconv, p-cpe:/a:mandriva:linux:php-idn, p-cpe:/a:mandriva:linux:php-imap, p-cpe:/a:mandriva:linux:php-ini, p-cpe:/a:mandriva:linux:php-intl, p-cpe:/a:mandriva:linux:php-json, p-cpe:/a:mandriva:linux:php-ldap, p-cpe:/a:mandriva:linux:php-mailparse, p-cpe:/a:mandriva:linux:php-mbstring, p-cpe:/a:mandriva:linux:php-mcal, p-cpe:/a:mandriva:linux:php-mcrypt, p-cpe:/a:mandriva:linux:php-mssql, p-cpe:/a:mandriva:linux:php-mysql, p-cpe:/a:mandriva:linux:php-mysqli, p-cpe:/a:mandriva:linux:php-odbc, p-cpe:/a:mandriva:linux:php-openssl, p-cpe:/a:mandriva:linux:php-optimizer, p-cpe:/a:mandriva:linux:php-pcntl, p-cpe:/a:mandriva:linux:php-pdo, p-cpe:/a:mandriva:linux:php-pdo_dblib, p-cpe:/a:mandriva:linux:php-pdo_mysql, p-cpe:/a:mandriva:linux:php-pdo_odbc, p-cpe:/a:mandriva:linux:php-pdo_pgsql, p-cpe:/a:mandriva:linux:php-pdo_sqlite, p-cpe:/a:mandriva:linux:php-pgsql, p-cpe:/a:mandriva:linux:php-phar, p-cpe:/a:mandriva:linux:php-pinba, p-cpe:/a:mandriva:linux:php-posix, p-cpe:/a:mandriva:linux:php-pspell, p-cpe:/a:mandriva:linux:php-readline, p-cpe:/a:mandriva:linux:php-recode, p-cpe:/a:mandriva:linux:php-sasl, p-cpe:/a:mandriva:linux:php-session, p-cpe:/a:mandriva:linux:php-shmop, p-cpe:/a:mandriva:linux:php-snmp, p-cpe:/a:mandriva:linux:php-soap, p-cpe:/a:mandriva:linux:php-sockets, p-cpe:/a:mandriva:linux:php-sphinx, p-cpe:/a:mandriva:linux:php-sqlite3, p-cpe:/a:mandriva:linux:php-ssh2, p-cpe:/a:mandriva:linux:php-suhosin, p-cpe:/a:mandriva:linux:php-sybase_ct, p-cpe:/a:mandriva:linux:php-sysvmsg, p-cpe:/a:mandriva:linux:php-sysvsem, p-cpe:/a:mandriva:linux:php-sysvshm, p-cpe:/a:mandriva:linux:php-tclink, p-cpe:/a:mandriva:linux:php-tidy, p-cpe:/a:mandriva:linux:php-timezonedb, p-cpe:/a:mandriva:linux:php-tokenizer, p-cpe:/a:mandriva:linux:php-translit, p-cpe:/a:mandriva:linux:php-vld, p-cpe:/a:mandriva:linux:php-wddx, p-cpe:/a:mandriva:linux:php-xattr, p-cpe:/a:mandriva:linux:php-xdebug, p-cpe:/a:mandriva:linux:php-xml, p-cpe:/a:mandriva:linux:php-xmlreader, p-cpe:/a:mandriva:linux:php-xmlrpc, p-cpe:/a:mandriva:linux:php-xmlwriter, p-cpe:/a:mandriva:linux:php-xsl, p-cpe:/a:mandriva:linux:php-zip, p-cpe:/a:mandriva:linux:php-zlib, cpe:/o:mandriva:linux:2010.0, cpe:/o:mandriva:linux:2010.1

Required KB Items: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

Exploit Available: true

Exploit Ease: Exploits are available

Patch Publication Date: 12/15/2010

Reference Information

CVE: CVE-2006-7243, CVE-2010-2950, CVE-2010-4409

BID: 44951, 45119

MDVSA: 2010:254