如何删除过时的PHP软件包,以便rapid7停止报告Centos7上的PHP漏洞

kmynzznz  于 2022-11-07  发布在  PHP
关注(0)|答案(1)|浏览(139)

我正在尝试删除我的Centos7机器上的PHP漏洞,这是rapid 7安全扫描报告的。我已经从PHP7.1升级到PHP7.4,但在另一次扫描后,仍然报告php71包。
我还确保通过运行命令删除了7.1包;

yum remove -y php71
yum autoremove
rm -rf /var/cache/yum/x86_64/7/remi-php71*

我附上了报告x1c 0d1x的屏幕截图
作为补救步骤,它要求我升级到最新版本的PHP,但我已经做了升级。
有什么好主意吗?

enyaitl3

enyaitl31#

yum删除-y php71
这可能还不够,您应该删除此SCL中的所有内容

yum remove php71\*

同时检查您是否重新启动了所需的服务(httpd、nginx、php-fpm...)
还请注意,如果使用上游“版本”,则此类漏洞扫描程序的结果没有任何值,此时软件包可能包含安全修复程序。
Ex from php 7.1.33-22 in my repository(来自7. 4. 32所有已知安全修复程序也在此包中修复)


* Tue Sep 27 2022 Remi Collet <remi@remirepo.net> - 7.1.33-22

- phar: fix #81726 DOS when using quine gzip file. CVE-2022-31628
- core: fix #81727 Don't mangle HTTP variable names that clash with ones   that have a specific semantic meaning. CVE-2022-31629

* Tue Jun 07 2022 Remi Collet <remi@remirepo.net> - 7.1.33-20

- mysqlnd: fix #81719: mysqlnd/pdo password buffer overflow. CVE-2022-31626
- pgsql: fix #81720: Uninitialized array in pg_query_params(). CVE-2022-31625

etc

当然,我建议使用PHP上游suported version
我还建议升级到CentOS的最新版本,因为该版本现在已有8年历史,接近其生命周期的终点。

提醒:为了正确的安装和使用仓库,请特别遵循wizard instructions,如果你想要一个单一的版本,你不必安装为安装多个版本而设计的SCL。并且使用单一的版本使升级更简单。

相关问题