低危 Oracle Communications WebRTC Session Controller 7.0/7.1/7.2 file 拒绝服务漏洞

CVE编号

CVE-2014-3538

利用情况

暂无

补丁情况

官方补丁

披露时间

2014-07-04

漏洞描述

PHP是一款流行的编程语言。 PHP Fileinfo Component Incomplete Fix存在远程拒绝服务漏洞，允许攻击者利用漏洞在应用程序上下文中发起拒绝服务攻击。

解决建议

请安装厂商已发布的最新版本或补丁：http://www.php.net/

参考链接
http://lists.apple.com/archives/security-announce/2015/Apr/msg00001.html
http://mx.gw.com/pipermail/file/2014/001553.html
http://openwall.com/lists/oss-security/2014/06/30/7
http://rhn.redhat.com/errata/RHSA-2014-1327.html
http://rhn.redhat.com/errata/RHSA-2014-1765.html
http://rhn.redhat.com/errata/RHSA-2014-1766.html
http://rhn.redhat.com/errata/RHSA-2016-0760.html
http://secunia.com/advisories/60696
http://www.debian.org/security/2014/dsa-3008
http://www.debian.org/security/2014/dsa-3021
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
http://www.oracle.com/technetwork/topics/security/bulletinjan2015-2370101.html
http://www.oracle.com/technetwork/topics/security/linuxbulletinapr2016-2952096.html
http://www.oracle.com/technetwork/topics/security/linuxbulletinoct2015-2719645.html
http://www.securityfocus.com/bid/68348
https://bugzilla.redhat.com/show_bug.cgi?id=1098222
https://github.com/file/file/commit/4a284c89d6ef11aca34da65da7d673050a5ea320
https://github.com/file/file/commit/69a5a43b3b71f53b0577f41264a073f495799610
https://github.com/file/file/commit/71a8b6c0d758acb0f73e2e51421a711b5e9d6668
https://github.com/file/file/commit/74cafd7de9ec99a14f4480927580e501c8f852c3
https://github.com/file/file/commit/758e066df72fb1ac08d2eea91ddc3973d259e991
https://support.apple.com/HT204659

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	christos_zoulas	file	*		Up to (including) 5.18
	运行在以下环境
	应用	christos_zoulas	file	5.00	-
	运行在以下环境
	应用	christos_zoulas	file	5.01	-
	运行在以下环境
	应用	christos_zoulas	file	5.02	-
	运行在以下环境
	应用	christos_zoulas	file	5.03	-
	运行在以下环境
	应用	christos_zoulas	file	5.04	-
	运行在以下环境
	应用	christos_zoulas	file	5.05	-
	运行在以下环境
	应用	christos_zoulas	file	5.06	-
	运行在以下环境
	应用	christos_zoulas	file	5.07	-
	运行在以下环境
	应用	christos_zoulas	file	5.08	-
	运行在以下环境
	应用	christos_zoulas	file	5.09	-
	运行在以下环境
	应用	christos_zoulas	file	5.10	-
	运行在以下环境
	应用	christos_zoulas	file	5.11	-
	运行在以下环境
	应用	christos_zoulas	file	5.12	-
	运行在以下环境
	应用	christos_zoulas	file	5.13	-
	运行在以下环境
	应用	christos_zoulas	file	5.14	-
	运行在以下环境
	应用	christos_zoulas	file	5.15	-
	运行在以下环境
	应用	christos_zoulas	file	5.16	-
	运行在以下环境
	应用	christos_zoulas	file	5.17	-
	运行在以下环境
	系统	amazon_AMI	file	*		Up to (excluding) 5.19-1.18.amzn1
	运行在以下环境
	系统	centos_6	file	*		Up to (excluding) 5.04-30.el6
	运行在以下环境
	系统	centos_7	php	*		Up to (excluding) 5.4.16-23.el7_0.1
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 5.6.0~rc4+dfsg-1
	运行在以下环境
	系统	debian_10	file	*		Up to (excluding) 1:5.19-1
	运行在以下环境
	系统	debian_11	file	*		Up to (excluding) 1:5.19-1
	运行在以下环境
	系统	debian_12	file	*		Up to (excluding) 1:5.19-1
	运行在以下环境
	系统	debian_6	file	*		Up to (excluding) 5.04-5+squeeze7
	运行在以下环境
	系统	debian_7	file	*		Up to (excluding) 5.11-2+deb7u4
	运行在以下环境
	系统	debian_sid	file	*		Up to (excluding) 1:5.19-1
	运行在以下环境
	系统	oracle_6	oraclelinux-release	*		Up to (excluding) 5.04-30.el6
	运行在以下环境
	系统	oracle_7	oraclelinux-release	*		Up to (excluding) 5.4.16-23.el7_0.1
	运行在以下环境
系统	redhat_6	file	*		Up to (excluding) 0:5.04-30.el6
运行在以下环境
系统	redhat_7	file	*		Up to (excluding) 5.4.16-23.el7_0.1
运行在以下环境
系统	suse_12	apache2-mod_php7	*		Up to (excluding) 7.0.7-15
运行在以下环境
系统	ubuntu_12.04.5_lts	file	*		Up to (excluding) 5.09-2ubuntu0.4
运行在以下环境
系统	ubuntu_14.04	file	*		Up to (excluding) 1:5.14-2ubuntu3.1
运行在以下环境
系统	ubuntu_14.04.6_lts	file	*		Up to (excluding) 1:5.14-2ubuntu3.1

阿里云评分 3.6

• 攻击路径 远程
• 攻击复杂度 容易
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 传输被破坏
• 服务器危害 DoS
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-399	资源管理错误

Exp相关链接

- avd.aliyun.com