我在使用 openSUSE 13.2 .
今天运行用官方源的最新 php 做服务器, 又用 nessus 扫描了一下, 竟然报出一个 CRITICAL 漏洞 .
扫描器给出的信息
critical PHP 5.6.x < 5.6.13 Multiple Vulnerabilities
Output
Version source : X-Powered-By: PHP/5.6.1
Installed version : 5.6.1
Fixed version : 5.6.13
Risk Information
Risk Factor: Critical
CVSS Base Score: 10.0
CVSS Vector: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS Temporal Vector: CVSS2#E:F/RL:OF/RC:ND
CVSS Temporal Score: 8.3
IAVM Severity: I
Vulnerability Information
CPE: cpe:/a:php:php
Exploit Available: true
Exploit Ease: Exploits are available
Patch Pub Date: 2015/09/03
Vulnerability Pub Date: 2014/09/10
Reference Information
CVE: CVE-2015-6834, CVE-2015-6835, CVE-2015-6836, CVE-2015-6837, CVE-2015-6838
OSVDB: 127122, 127124, 127125, 127126
IAVB: 2015-B-0108
然后我上 openSUSE 官网的软件包搜索了一下 php
software.opensuse.org/package/php5
可以看到
42.1 官方源 5.5.14
13.2 官方源 5.6.1
13.1 官方源 5.4.20
都没有满足扫描器给出的 fixed version 5.6.13
42.1 还低于 13.2
13.1 应该还在支持周期内,php 对此漏洞的修复版本也已在一月前释出了.
为什么官方源未够跟进?
是否使用 openSUSE 需要自行选择 OBS 中的源才能够维持足够的 update?
这是 openSUSE 独有现象还是所有 Linux Distro 共有的?
** 我对软件周期不懂, 对安全也不懂, 仅是今天的经历让我不解.**