DFN-CERT-2014-1176 PHP: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe und die Ausführung von beliebigem Programmcode [Linux]

DFN-CERT-2014-1176 PHP: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe und die Ausführung von beliebigem Programmcode [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

PHP

Betroffene Plattformen:

Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts

Zwei Schwachstellen ermöglichen einem entfernten, nicht authentisierten
Angreifer die Durchführung von Denial-of-Service-Angriffen und die
Ausführung von beliebigem Programmcode.

Patch:

Ubuntu Security Notice USN-2344-1

http://www.ubuntu.com/usn/usn-2344-1/

CVE-2014-3597: Schwachstelle in PHP ermöglicht die Ausführung beliebigen
Codes

Es besteht eine Schwachstelle in PHP, die auf eine unzureichende Behebung
der Schwachstelle CVE-2014-4049 zurückzuführen ist. Das Parsen von
veränderten DNS TXT Records kann zu einem Speicherüberlauf führen. Ein
entfernter, nicht authentisierter Angreifer kann als “Man-in-the-Middle”,
mit Hilfe von veränderten DNS TXT Records die Schwachstelle zur Ausführung
von beliebigem Code ausnutzen.

CVE-2014-3587: Schwachstelle in PHP bzw. File ermöglicht Denial-of-Service

Die Funktion “cdf_read_property_info” in cdf.c in File bis einschließlich
Version 5.19, wie verwendet im Modul “fileinfo” in PHP bevor 5.4.32 und
5.5.x bevor 5.5.16, enthält eine Schwachstelle, die darin besteht, dass
Dateien im “Composit-Document” (CDF) Format falsch bearbeitet werden und es
dadurch zu einem Interger-Überlauf kommt. Ein entfernter, nicht
authentisierter Angreifer kann die Schwachstelle, unter Verwendung einer
veränderten CDF-Datei, dazu verwenden, um einen Denial-of-Service-Angriff
(Absturz der Applikation) auszuführen. Diese Schwachstelle existiert
aufgrund eines unvollständigen Fixes für CVE-2012-1571.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1176/

Schwachstelle CVE-2014-3587 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3587

Schwachstelle CVE-2014-3597 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3597

Ubuntu Security Notice USN-2344-1:
http://www.ubuntu.com/usn/usn-2344-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben