PHP 上的 CVE-2023-3824、CVE-2023-3823

PHP 上的 CVE-2023-3824、CVE-2023-3823

我有一台焦点机器(“Ubuntu 20.04.6 LTS”),安装了 php 7.4(7.4.3-4ubuntu2.19),漏洞扫描警告我有关 PHP 中的 CVE-2023-3824、CVE-2023-3823,但以下内容:

https://ubuntu.com/security/CVE-2023-3824

https://ubuntu.com/security/CVE-2023-3823

https://ubuntu.com/security/cves?q=&package=php7.4

它指出这台机器“不易受攻击”;有人知道如何获取有关此问题的更多详细信息吗?我查看了软件包的更改日志,但没有提及上述 CVE。

答案1

例如,对于 CVE-2023-3824,您可以看到PHP 问题并查看其中提到的问题代码ext/phar/dirstream.c。您可以看到已应用的修复(https://github.com/php/php-src/commit/80316123f3e9dcce8ac419bd9dd43546e2ccb5ef)并发现问题代码存在并且仍然存在于最终的 php 7.4.33 代码

所以是的,PHP 7.4 存在该问题,只是 CVE 中没有提及,因为 7.4 已终止使用,并且 CNA 不必报告 EOL 软件。

Ubuntu 尚未反向移植任何修复。Grep源(7.4.3-4ubuntu2.19)phar_dir_read你会发现有漏洞的代码,但没有补丁。一旦他们反向移植,他们就会提到它,https://ubuntu.com/security/CVE-2023-3824对于存在的 7.4 版本,除了“不易受攻击”之外,还会说其他内容。

但是您的安全工具做得很好,一些天真的人也会误解 CVE 的含义,无论谁在您的安全工具上工作都做了额外的工作来评估哪些 EOL 版本也受到影响,而不仅仅是导入 CVE。

答案2

我认为 CVE 描述应该非常清楚(但请继续阅读),因为它们以以下内容开头:

在 PHP 版本 8.0.30 之前的 8.0.*、8.1.22 之前的 8.1.* 和 8.2.8 之前的 8.2.* 中...

从该声明来看,显然 PHP 7.4 不受这些影响。

然而正如 @OldPec 所说,CVE 的 EOL 策略使得用户难以区分这一点,因此 PHP 7.4 实际上受到了影响,尽管它没有这样说明。

相关内容