DFN-CERT-2015-0301 PHP: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen [Linux][SuSE]

DFN-CERT-2015-0301 PHP: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

PHP <= 5.3.17 Betroffene Plattformen: SUSE Software Development Kit 11.0 Sp3 Enterprise SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware Zwei Schwachstellen in PHP5.3 ermöglichen einem lokalen, nicht authentifizierten Angreifer Dateien zu manipulieren und einem entfernten, nicht authentifizierten Angreifer Informationen auszuspähen. Patch: SUSE Security Update SUSE-SU-2015:0436-1 https://www.suse.com/support/update/announcement/2015/suse-su-20150436-1.html

CVE-2013-6501: Schwachstelle in PHP5 ermöglicht das Manipulieren von Dateien

Eine Schwachstelle in der PHP5 Erweiterung WDSL führt dazu, dass
voraussagbare Dateinamen aus einem Cache-Verzeichnis ( voreingestellt
‘/tmp’) gelesen werden. Es erfolgt keine Überprüfung der Zugriffsrechte oder
des Besitzers der Datei. Durch eine manipulierte WDSL Datei können die
Endpunkte von zur Verfügung gestellten Diensten verändert werden. Ein
lokaler, nicht authentifizierter Angreifer kann Dateien manipulieren.

CVE-2014-9652: Schwachstelle in PHP fileinfo-Erweiterung ermöglicht
Ausspähen von Informationen

In der PHP fileinfo-Erweiterung kann es in der Funktion mconvert() zu einem
Lesen über Puffergrenzen kommen (out-of-bounds read). Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
Informationen auszuspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0301/

Schwachstelle CVE-2014-9652 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9652

SUSE Security Update SUSE-SU-2015:0436-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150436-1.html

Schwachstelle CVE-2013-6501 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6501

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben