Vbulletin 3.8.7和PHP 5.2.17關注

Question

我的朋友想知道在CentOS上運行vbulletin 3.8.7和PHP 5.2.17時是否存在任何安全問題。我看到PHP 5.2.17易受CVE-2012-2688和CVE-2012-2386的影響，但我不知道vbulletin是否利用Phar擴展或接受用戶輸入的scandir（）函數。任何熟悉vbulletin源代碼的人都能告訴我，我的朋友是否應該關注這些漏洞？

Answer 1

雖然vB的問題更適合官方vB論壇，但我們可以在CentOS中輕鬆檢查任何CVE的狀態。

CentOS是紅帽企業Linux的衍生產品。 RHEL所採取的任何CVE都將在幾周內進入CentOS。

• CVE-2012-2386被RHEL評爲「中等」嚴重性。它針對RHEL5的php53包和針對RHEL6的php包進行了修補。 vanilla RHEL5中的php包是5.1沒有更新，因爲您不能在5.1中執行PHAR。
• CVE-2012-2688已被RHEL評爲「低」嚴重程度，尚未修補。我試着按照CVE鏈接進行操作，但它們都以嚴重缺乏關於漏洞利用和如何觸發的有用信息而告終。這一切都回到了PHP更新日誌，它只是簡單地列出了一個錯誤，並且它已經修復，沒有列出錯誤號。

但是，有一個很大的問題。

• RHEL 5隨PHP 5.1一起提供，並提供PHP 5.3作爲單獨的軟件包。
• RHEL 6隨PHP 5.3一起發貨。

您正在運行PHP 5.2。 沒有RHEL或CentOS發行曾有提供5.2。您從外部來源獲得這些RPM，因此需要檢查來源以查看它們是否有後端更改。假設他們沒有。

考慮使用Remi's repo進行PHP更新。 Remi是Fedora發行版的PHP包管理器，發行版的上游來源最終成爲RHEL。