安全公告/【CVE-2022-31625】
基本信息
漏洞描述
在 PHP 7.4.x 版本(低于 7.4.30)、8.0.x 版本(低于 8.0.20)和 8.1.x 版本(低于 8.1.7)中,使用 Postgres 数据库扩展时,向参数化查询提供无效参数可能会导致 PHP 尝试使用未初始化的数据作为指针来释放内存。这可能会导致 RCE 漏洞或拒绝服务。
漏洞判定
POC检测原理:检查当前系统中PHP版本是否在受影响版本范围内|POC检测结果:当前主机PHP版本在漏洞版本范围内,相关信息: PHP 版本: 5.3.3, PHP路径: /usr/bin/php
修复方式
软件包升级 dnf update php
参考
https://bugs.php.net/bug.php?id=81720
https://www.debian.org/security/2022/dsa-5179
https://security.netapp.com/advisory/ntap-20220722-0005/
https://security.gentoo.org/glsa/202209-20
https://lists.debian.org/debian-lts-announce/2022/12/msg00030.html
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZZTZQKRGEYJT5UB4FGG3MOE72SQUHSL4/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/3T4MMEEZYYAEHPQMZDFN44PHORJWJFZQ/