雖然vB的問題更適合官方vB論壇,但我們可以在CentOS中輕鬆檢查任何CVE的狀態。
CentOS是紅帽企業Linux的衍生產品。 RHEL所採取的任何CVE都將在幾周內進入CentOS。
- CVE-2012-2386被RHEL評爲「中等」嚴重性。它針對RHEL5的
php53
包和針對RHEL6的php
包進行了修補。 vanilla RHEL5中的php
包是5.1沒有更新,因爲您不能在5.1中執行PHAR。
- CVE-2012-2688已被RHEL評爲「低」嚴重程度,尚未修補。我試着按照CVE鏈接進行操作,但它們都以嚴重缺乏關於漏洞利用和如何觸發的有用信息而告終。這一切都回到了PHP更新日誌,它只是簡單地列出了一個錯誤,並且它已經修復,沒有列出錯誤號。
但是,有一個很大的問題。
- RHEL 5隨PHP 5.1一起提供,並提供PHP 5.3作爲單獨的軟件包。
- RHEL 6隨PHP 5.3一起發貨。
您正在運行PHP 5.2。 沒有RHEL或CentOS發行曾有提供5.2。您從外部來源獲得這些RPM,因此需要檢查來源以查看它們是否有後端更改。假設他們沒有。
考慮使用Remi's repo進行PHP更新。 Remi是Fedora發行版的PHP包管理器,發行版的上游來源最終成爲RHEL。