我有一台焦点机器(“Ubuntu 20.04.6 LTS”),安装了 php 7.4(7.4.3-4ubuntu2.19),漏洞扫描警告我有关 PHP 中的 CVE-2023-3824、CVE-2023-3823,但以下内容:
https://ubuntu.com/security/CVE-2023-3824
https://ubuntu.com/security/CVE-2023-3823
https://ubuntu.com/security/cves?q=&package=php7.4
它指出这台机器“不易受攻击”;有人知道如何获取有关此问题的更多详细信息吗?我查看了软件包的更改日志,但没有提及上述 CVE。
答案1
例如,对于 CVE-2023-3824,您可以看到PHP 问题并查看其中提到的问题代码ext/phar/dirstream.c
。您可以看到已应用的修复(https://github.com/php/php-src/commit/80316123f3e9dcce8ac419bd9dd43546e2ccb5ef)并发现问题代码存在并且仍然存在于最终的 php 7.4.33 代码。
所以是的,PHP 7.4 存在该问题,只是 CVE 中没有提及,因为 7.4 已终止使用,并且 CNA 不必报告 EOL 软件。
Ubuntu 尚未反向移植任何修复。Grep源(7.4.3-4ubuntu2.19)phar_dir_read
你会发现有漏洞的代码,但没有补丁。一旦他们反向移植,他们就会提到它,https://ubuntu.com/security/CVE-2023-3824对于存在的 7.4 版本,除了“不易受攻击”之外,还会说其他内容。
但是您的安全工具做得很好,一些天真的人也会误解 CVE 的含义,无论谁在您的安全工具上工作都做了额外的工作来评估哪些 EOL 版本也受到影响,而不仅仅是导入 CVE。
答案2
我认为 CVE 描述应该非常清楚(但请继续阅读),因为它们以以下内容开头:
在 PHP 版本 8.0.30 之前的 8.0.*、8.1.22 之前的 8.1.* 和 8.2.8 之前的 8.2.* 中...
从该声明来看,显然 PHP 7.4 不受这些影响。
然而正如 @OldPec 所说,CVE 的 EOL 策略使得用户难以区分这一点,因此 PHP 7.4 实际上受到了影响,尽管它没有这样说明。