Vbulletin 3.8.7和PHP 5.2.17关注

时间:2012-12-26 22:22:08

标签: php security vbulletin

我的朋友想知道在CentOS上运行vbulletin 3.8.7和PHP 5.2.17时是否存在任何安全问题。我看到PHP 5.2.17容易受到CVE-2012-2688和CVE-2012-2386的攻击,但我不知道vbulletin是否使用Phar扩展或接受用户输入的scandir()函数。任何熟悉vbulletin来源的人都可以告诉我,我的朋友是否应该关注这些漏洞?

1 个答案:

答案 0 :(得分:0)

虽然vB所做的是一个更适合官方vB论坛的问题,但我们可以轻松查看CentOS中任何CVE的状态。

CentOS是Red Hat Enterprise Linux的衍生产品。 RHEL采取的任何CVE都将在几周内进入CentOS。

  • CVE-2012-2386被RHEL评为“中等”严重程度。它在RHEL5的php53包和RHEL6的php包中打了补丁。 vanilla RHEL5中的php包是5.1未更新,因为您无法在5.1中执行PHAR。
  • CVE-2012-2688被RHEL评为“低”严重程度且尚未修补。我试着遵循CVE链接,但它们都以严重缺乏有关漏洞是什么以及如何触发它的有用信息而告终。这一切都回到了PHP更新日志,它只是列出了一个错误并且已经修复,没有列出错误号。

但是,有一个很大的明显问题。

  • RHEL 5随PHP 5.1一起提供,并提供PHP 5.3作为单独的包。
  • RHEL 6随PHP 5.3一起提供。

您正在运行PHP 5.2。 没有RHEL或CentOS版本提供5.2 。您从外部源获得了这些RPM,因此需要检查 源以查看它们是否已经向后移植了更改。假设他们没有。

考虑使用Remi's repo进行PHP更新。 Remi是Fedora发行版的PHP包管理器,它是发行版的上游源,最终成为RHEL。

相关问题
最新问题