UPDATE: DFN-CERT-2014-1329 Zend Framework: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

UPDATE: DFN-CERT-2014-1329 Zend Framework: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (03.11.2014):
Für Fedora 19 wurde ein Sicherheitsupdate in Form eines aktualisierten
Paketes php-ZendFramework2-2.2.8-2.fc19 zur Verfügung gestellt.
Version 3 (31.10.2014):
Für Fedora EPEL 6 steht ein Sicherheitsupdate für php-ZendFramework2 zur
Verfügung.
Version 2 (20.10.2014):
Für Fedora 20 steht ein Sicherheitsupdate zur Verfügung.
Version 1 (13.10.2014):
Neues Advisory

Betroffene Software:

zend_framework <= 1.12.8 zend_framework <= 2.2.7 zend_framework <= 2.3.2 Betroffene Plattformen: Red Hat Fedora 19 Red Hat Fedora 20 Red Hat Fedora 21 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Zwei Schwachstellen im Zusammenhang mit PHP5 und dem Zend Framework ermöglichen es einem entfernten, nicht authentifizierten Angreifer Sicherheitsvorkehrungen zu umgehen und sich in der Folge ohne Passwort als registrierter Benutzer anzumelden oder SQL-Injection-Angriffe durchzuführen. Patch: Fedora Security Update FEDORA-2014-12676 https://admin.fedoraproject.org/updates/FEDORA-2014-12676/php-ZendFramework2-2.3.3-1.fc21

Patch:

Fedora Security Update FEDORA-EPEL-2014-3279

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3279/php-ZendFramework-1.12.9-1.el6

Patch:

Fedora Security Update FEDORA-EPEL-2014-3283

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3283/php-ZendFramework2-2.3.3-1.el7

Patch:

Fedora Security Update FEDORA-2014-13302

https://admin.fedoraproject.org/updates/FEDORA-2014-13302/php-ZendFramework2-2.3.3-2.fc20

Patch:

Fedora Security Update FEDORA-EPEL-2014-3680

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3680/php-ZendFramework2-2.2.8-1.el6

Patch:

Fedora Security Update FEDORA-2014-14043

https://admin.fedoraproject.org/updates/FEDORA-2014-14043/php-ZendFramework2-2.2.8-2.fc19

CVE-2014-8089: SQL-Injection-Schwachstelle in Zend Framework

Eine Schwachstelle in der PHP-Erweiterung “sqlsrv” führt dazu, dass
SQL-Anfragen nicht automatisch begrenzt werden. Dadurch ist es möglich eine
SQL-Anfrage vor Ende der gesamten Zeichenkette mit einem NULL Byte
abzuschließen und beliebigen SQL-Code auszuführen. Ein entfernter, nicht
authentifizierter Angreifer kann durch manipulierte SQL-Anfragen einen
SQL-Injection-Angriff durchführen.

CVE-2014-8088: LDAP und NULL Bytes Schwachstelle in Zend Framework

Eine Schwachstelle in der LDAP Bind Funktionalität in PHP5 im Zusammenhang
mit dem Zend Framework führt dazu, dass bei der Verwendung von NULL Bytes
ein Login ohne Kenntnis des Passwortes möglich ist. Ein entfernter, nicht
authentifizierter Angreifer kann sich durch manipulierte LDAP Anfragen ohne
Passwort als ein registrierter Benutzer anmelden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1329/

Fedora Security Update FEDORA-2014-12676:
https://admin.fedoraproject.org/updates/FEDORA-2014-12676/php-ZendFramework2-2.3.3-1.fc21

Fedora Security Update FEDORA-EPEL-2014-3279:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3279/php-ZendFramework-1.12.9-1.el6

Fedora Security Update FEDORA-EPEL-2014-3283:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3283/php-ZendFramework2-2.3.3-1.el7

Schwachstelle CVE-2014-8088 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8088

Schwachstelle CVE-2014-8089 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8089

Fedora Security Update FEDORA-2014-13302:
https://admin.fedoraproject.org/updates/FEDORA-2014-13302/php-ZendFramework2-2.3.3-2.fc20

Fedora Security Update FEDORA-EPEL-2014-3680:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3680/php-ZendFramework2-2.2.8-1.el6

Fedora Security Update FEDORA-2014-14043:
https://admin.fedoraproject.org/updates/FEDORA-2014-14043/php-ZendFramework2-2.2.8-2.fc19

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

UPDATE: DFN-CERT-2014-1329 Zend Framework: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (31.10.2014):
Für Fedora EPEL 6 steht ein Sicherheitsupdate für php-ZendFramework2 zur
Verfügung.
Version 2 (20.10.2014):
Für Fedora 20 steht ein Sicherheitsupdate zur Verfügung.
Version 1 (13.10.2014):
Neues Advisory

Betroffene Software:

zend_framework <= 1.12.8 zend_framework <= 2.2.7 zend_framework <= 2.3.2 Betroffene Plattformen: Red Hat Fedora 20 Red Hat Fedora 21 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Zwei Schwachstellen im Zusammenhang mit PHP5 und dem Zend Framework ermöglichen es einem entfernten, nicht authentifizierten Angreifer Sicherheitsvorkehrungen zu umgehen und sich in der Folge ohne Passwort als registrierter Benutzer anzumelden oder SQL-Injection-Angriffe durchzuführen. Patch: Fedora Security Update FEDORA-2014-12676 https://admin.fedoraproject.org/updates/FEDORA-2014-12676/php-ZendFramework2-2.3.3-1.fc21

Patch:

Fedora Security Update FEDORA-EPEL-2014-3279

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3279/php-ZendFramework-1.12.9-1.el6

Patch:

Fedora Security Update FEDORA-EPEL-2014-3283

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3283/php-ZendFramework2-2.3.3-1.el7

Patch:

Fedora Security Update FEDORA-2014-13302

https://admin.fedoraproject.org/updates/FEDORA-2014-13302/php-ZendFramework2-2.3.3-2.fc20

Patch:

Fedora Security Update FEDORA-EPEL-2014-3680

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3680/php-ZendFramework2-2.2.8-1.el6

CVE-2014-8089: SQL-Injection-Schwachstelle in Zend Framework

Eine Schwachstelle in der PHP-Erweiterung “sqlsrv” führt dazu, dass
SQL-Anfragen nicht automatisch begrenzt werden. Dadurch ist es möglich eine
SQL-Anfrage vor Ende der gesamten Zeichenkette mit einem NULL Byte
abzuschließen und beliebigen SQL-Code auszuführen. Ein entfernter, nicht
authentifizierter Angreifer kann durch manipulierte SQL-Anfragen einen
SQL-Injection-Angriff durchführen.

CVE-2014-8088: LDAP und NULL Bytes Schwachstelle in Zend Framework

Eine Schwachstelle in der LDAP Bind Funktionalität in PHP5 im Zusammenhang
mit dem Zend Framework führt dazu, dass bei der Verwendung von NULL Bytes
ein Login ohne Kenntnis des Passwortes möglich ist. Ein entfernter, nicht
authentifizierter Angreifer kann sich durch manipulierte LDAP Anfragen ohne
Passwort als ein registrierter Benutzer anmelden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1329/

Fedora Security Update FEDORA-2014-12676:
https://admin.fedoraproject.org/updates/FEDORA-2014-12676/php-ZendFramework2-2.3.3-1.fc21

Fedora Security Update FEDORA-EPEL-2014-3279:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3279/php-ZendFramework-1.12.9-1.el6

Fedora Security Update FEDORA-EPEL-2014-3283:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3283/php-ZendFramework2-2.3.3-1.el7

Schwachstelle CVE-2014-8088 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8088

Schwachstelle CVE-2014-8089 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8089

Fedora Security Update FEDORA-2014-13302:
https://admin.fedoraproject.org/updates/FEDORA-2014-13302/php-ZendFramework2-2.3.3-2.fc20

Fedora Security Update FEDORA-EPEL-2014-3680:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3680/php-ZendFramework2-2.2.8-1.el6

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

UPDATE: DFN-CERT-2014-1329 Zend Framework: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (20.10.2014):
Für Fedora 20 steht ein Sicherheitsupdate zur Verfügung.
Version 1 (13.10.2014):
Neues Advisory

Betroffene Software:

zend_framework <= 1.12.8 zend_framework <= 2.2.7 zend_framework <= 2.3.2 Betroffene Plattformen: Red Hat Fedora 20 Red Hat Fedora 21 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Zwei Schwachstellen im Zusammenhang mit PHP5 und dem Zend Framework ermöglichen es einem entfernten, nicht authentifizierten Angreifer Sicherheitsvorkehrungen zu umgehen und sich in der Folge ohne Passwort als registrierter Benutzer anzumelden oder SQL-Injection-Angriffe durchzuführen. Patch: Fedora Security Update FEDORA-2014-12676 https://admin.fedoraproject.org/updates/FEDORA-2014-12676/php-ZendFramework2-2.3.3-1.fc21

Patch:

Fedora Security Update FEDORA-EPEL-2014-3279

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3279/php-ZendFramework-1.12.9-1.el6

Patch:

Fedora Security Update FEDORA-EPEL-2014-3283

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3283/php-ZendFramework2-2.3.3-1.el7

Patch:

Fedora Security Update FEDORA-2014-13302

https://admin.fedoraproject.org/updates/FEDORA-2014-13302/php-ZendFramework2-2.3.3-2.fc20

CVE-2014-8089: SQL-Injection-Schwachstelle in Zend Framework

Eine Schwachstelle in der PHP-Erweiterung “sqlsrv” führt dazu, dass
SQL-Anfragen nicht automatisch begrenzt werden. Dadurch ist es möglich eine
SQL-Anfrage vor Ende der gesamten Zeichenkette mit einem NULL Byte
abzuschließen und beliebigen SQL-Code auszuführen. Ein entfernter, nicht
authentifizierter Angreifer kann durch manipulierte SQL-Anfragen einen
SQL-Injection-Angriff durchführen.

CVE-2014-8088: LDAP und NULL Bytes Schwachstelle in Zend Framework

Eine Schwachstelle in der LDAP Bind Funktionalität in PHP5 im Zusammenhang
mit dem Zend Framework führt dazu, dass bei der Verwendung von NULL Bytes
ein Login ohne Kenntnis des Passwortes möglich ist. Ein entfernter, nicht
authentifizierter Angreifer kann sich durch manipulierte LDAP Anfragen ohne
Passwort als ein registrierter Benutzer anmelden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1329/

Fedora Security Update FEDORA-2014-12676:
https://admin.fedoraproject.org/updates/FEDORA-2014-12676/php-ZendFramework2-2.3.3-1.fc21

Fedora Security Update FEDORA-EPEL-2014-3279:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3279/php-ZendFramework-1.12.9-1.el6

Fedora Security Update FEDORA-EPEL-2014-3283:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3283/php-ZendFramework2-2.3.3-1.el7

Schwachstelle CVE-2014-8088 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8088

Schwachstelle CVE-2014-8089 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8089

Fedora Security Update FEDORA-2014-13302:
https://admin.fedoraproject.org/updates/FEDORA-2014-13302/php-ZendFramework2-2.3.3-2.fc20

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben