我的朋友想知道在 CentOS 上运行 vbulletin 3.8.7 和 PHP 5.2.17 时是否有任何安全问题。我看到 PHP 5.2.17 容易受到 CVE-2012-2688 和 CVE-2012-2386 的攻击,但我不知道 vbulletin 是使用 Phar 扩展还是接受用户输入的 scandir() 函数。任何熟悉 vbulletin 来源的人都可以告诉我我的朋友是否应该关注这些漏洞?
问问题
911 次
1 回答
0
虽然 vB 所做的是更适合官方 vB 论坛的问题,但我们可以轻松检查 CentOS 中任何 CVE 的状态。
CentOS 是 Red Hat Enterprise Linux 的衍生产品。任何由 RHEL 采取行动的 CVE 都将在几周内进入 CentOS。
- CVE-2012-2386被 RHEL 评为“中等”严重性。它已在
php53
RHEL5 的php
软件包和 RHEL6 的软件包中进行了修补。vanilla RHEL5 is 5.1 中的php
包没有更新,因为您不能在 5.1 中执行 PHAR。 - CVE-2012-2688已被 RHEL 评为“低”严重性,尚未修补。我尝试跟踪 CVE 链接,但它们都以严重缺乏关于漏洞是什么以及如何触发它的有用信息而告终。这一切都回到了 PHP 变更日志,它只是列出了存在错误并且已修复,而没有列出错误编号。
然而,有一个很大的脂肪刺眼问题。
- RHEL 5 与 PHP 5.1 一起提供,并将 PHP 5.3 作为单独的包提供。
- RHEL 6 附带 PHP 5.3。
您正在运行 PHP 5.2。 从来没有 RHEL 或 CentOS 版本提供 5.2。您从外部来源获得了这些 RPM,因此需要检查该来源以查看它们是否具有反向移植的更改。假设他们没有。
考虑使用Remi 的 repo进行 PHP 更新。Remi 是 Fedora 发行版的 PHP 包管理器,该发行版的上游资源最终成为 RHEL。
于 2012-12-27T04:58:43.697 回答