DFN-CERT-2015-0370 PHP5: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes und Denial-of-Service-Angriffe [Linux]

DFN-CERT-2015-0370 PHP5: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes und Denial-of-Service-Angriffe [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

PHP <= 5.5.21 Betroffene Plattformen: Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Mehrere Schwachstellen in PHP ermöglichen einem entfernten, nicht authentifizierten Angreifer, Denial-of-Service-Angriffe durchzuführen oder beliebigen Programmcode zur Ausführung zu bringen. Canonical stellt verschiedene Backport-Sicherheitsupdates der PHP5-Pakete für die Distributionen Ubuntu 14.10, 14.04 LTS, 12.04 LTS und 10.04 LTS zur Verfügung. Patch: Ubuntu Security Notice USN-2535-1 http://www.ubuntu.com/usn/usn-2535-1/

CVE-2015-2301: Schwachstelle in PHP erlaubt Denial-of-Service

Eine Schwachstelle in PHP besteht in einer fehlerhaften Speicherbehandlung
in der phar-Erweiterung. Ein entfernter, nicht authentisierter Angreifer
kann diese Schwachstelle ausnutzen, um PHP zum Absturz zu bringen, d.h.
einen Denial-of-Service (DoS)-Zustand herbeizuführen, oder möglicherweise
beliebigen Programmcode auszuführen.

CVE-2014-9705: Schwachstelle in PHP erlaubt Denial-of-Service

Eine Schwachstelle in PHP besteht in einer fehlerhaften Speicherbehandlung
in “enchant binding”. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, um PHP zum Absturz zu bringen, d.h. einen
Denial-of-Service (DoS)-Zustand herbeizuführen, oder möglicherweise
beliebigen Programmcode auszuführen.

CVE-2015-0273: Schwachstelle in DateTimeZone von PHP ermöglicht das
Ausführen beliebigen Programmcodes

In DateTimeZone von PHP wird mit unserialize() bereits freigegebener
Speicher weiterhin benutzt (use-after-free). Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
beliebigen Programmcode auszuführen.

CVE-2014-8117: Schwachstelle in File erlaubt Denial-of-Service-Angriff

Eine Schwachstelle in “softmagic.c in File besteht darin, dass Rekursionen
nicht ordentlich begrenzt werden. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um die Anwendung abstürzen zu
lassen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0370/

Schwachstelle CVE-2014-8117 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8117

Schwachstelle CVE-2015-0273 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0273

Ubuntu Security Notice USN-2535-1:
http://www.ubuntu.com/usn/usn-2535-1/

Schwachstelle CVE-2014-9705 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9705

Schwachstelle CVE-2015-2301 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2301

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben