Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

zend_framework

Betroffene Plattformen:

Debian Linux 7.8 Wheezy
Debian Linux 8.0 Jessie
Debian Linux 9.0 Stretch

Mehrere Schwachstellen im Zend Framework ermöglichen auch einem entfernten,
nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen,
Ausspähen von Informationen und Durchführen von Denial-of-Service- und
SQL-Injection-Angriffen.

Debian stellt für die Distributionen Wheezy (old stable), Jessie (stable)
und Stretch (testing) Sicherheitsupdates zur Verfügung, wobei alle
Schwachstellen, mit Ausnahme der CVE-2015-3154 bereits in der initialen
Auslieferung von Jessie behoben waren.

Patch:

Debian Security Advisory DSA-3265-1

https://www.debian.org/security/2015/dsa-3265

CVE-2015-3154: Schwachstelle im Zend Framework ermöglicht Umgehen von
Sicherheitsmaßnahmen

Eine Schwachstelle im Zend Framework vor Version 1.12.13 ermöglicht die
Manipulation von Kopfzeilen mithilfe von nicht korrekt gefilterten
Zeilenumbrüche durch die Zeichen Wagenrücklauf (CR) und Zeilenvorschub (LF)
als Kombination CRLF. Dadurch ist es möglich Kopfzeilen zu verändern indem
z.B. weitere nicht im Zusammenhang stehende Kopfzeilen hinzugefügt werden
oder Kopfzeilen umgangen werden. Die Schwachstelle betrifft die E-Mail
Komponente des Zend Framework. Ein entfernter, nicht authentifizierter
Angreifer kann Sicherheitsmaßnahmen umgehen.

CVE-2014-8089: SQL-Injection-Schwachstelle in Zend Framework

Eine Schwachstelle in der PHP-Erweiterung “sqlsrv” führt dazu, dass
SQL-Anfragen nicht automatisch begrenzt werden. Dadurch ist es möglich eine
SQL-Anfrage vor Ende der gesamten Zeichenkette mit einem NULL Byte
abzuschließen und beliebigen SQL-Code auszuführen. Ein entfernter, nicht
authentifizierter Angreifer kann durch manipulierte SQL-Anfragen einen
SQL-Injection-Angriff durchführen.

CVE-2014-8088: LDAP und NULL Bytes Schwachstelle in Zend Framework

Eine Schwachstelle in der LDAP Bind Funktionalität in PHP5 im Zusammenhang
mit dem Zend Framework führt dazu, dass bei der Verwendung von NULL Bytes
ein Login ohne Kenntnis des Passwortes möglich ist. Ein entfernter, nicht
authentifizierter Angreifer kann sich durch manipulierte LDAP Anfragen ohne
Passwort als ein registrierter Benutzer anmelden.

CVE-2014-4914: Schwachstelle im Zend Framework

Das PHP Zend Framework enthält eine Schwachstelle. Die Umsetzung der
Sortierung ‘ORDER BY’ in einer Datenbank Abfrage ‘Zend_Db_Select’ ist
fehlerhaft, sofern in der Anfrage Klammer-Zeichen enthalten sind. Ein
entfernter, authentisierter Angreifer kann die Schwachstelle für einen
SQL-Injection-Angriff nutzen.

CVE-2014-2685: Schwachstelle in phpZendFramework OpenID

Es besteht eine Schwachstelle innerhalb der Signaturüberprüfung der Consumer
Komponente von ZendOpenID. Einem entfernten, nicht authentifizierten
Angreifer ist es, mithilfe eines eigens angelegten OpenID Providers,
möglich, sich mit einem beliebigen OpenID Account, ohne zusätzliches
Geheimwissen, einzuloggen. Im Anschluss kann der Angreifer auf beliebige
Accounts (Google etc.) zugreifen.

CVE-2014-2684: Schwachstelle in phpZendFramework OpenID

Es besteht eine Schwachstelle innerhalb der Signaturüberprüfung der Consumer
Komponente von ZendOpenID. Einem entfernten, nicht authentifizierten
Angreifer ist es, mithilfe eines eigens angelegten OpenID Providers,
möglich, sich mit einem beliebigen OpenID Account, ohne zusätzliches
Geheimwissen, einzuloggen. Im Anschluss kann der Angreifer auf beliebige
Accounts (Google etc.) zugreifen.

CVE-2014-2683: Schwachstelle in phpZendFramework

Es besteht eine Schwachstelle bei der Verarbeitung von XML. Ein entfernter,
nicht authentifizierter Angreifer kann mithilfe einer rekursiven Referenz
innerhalb einer XML-Entity (XML Entity Expansion Attacke) einen
Denial-of-Service-Zustand hervorrufen.

CVE-2014-2682: Schwachstelle in phpZendFramework

Es besteht eine Schwachstelle innerhalb der Klassen “Zend_Feed_Rss” und
“Zend_Feed_Atom”. Ein entfernter, nicht authentifizierter Angreifer kann
hierdurch beliebige Dateien auslesen, sowie HTTP-Anfragen an Intranet Server
verschicken. Darüber hinaus lässt sich durch eine XEE (XML External
Entity)-Attacke ein Denial-of-Service-Zustand hervorrufen.

CVE-2014-2681: Schwachstelle in phpZendFramework

Es besteht eine Schwachstelle innerhalb der Klassen “Zend_Feed_Rss” und
“Zend_Feed_Atom”. Ein entfernter, nicht authentifizierter Angreifer kann
hierdurch beliebige Dateien auslesen, sowie HTTP-Anfragen an Intranet Server
verschicken. Darüber hinaus lässt sich durch eine XEE (XML External
Entity)-Attacke ein Denial-of-Service-Zustand hervorrufen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0747/

Schwachstelle CVE-2014-2681 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2681

Schwachstelle CVE-2014-2682 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2682

Schwachstelle CVE-2014-2683 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2683

Schwachstelle CVE-2014-2684 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2684

Schwachstelle CVE-2014-2685 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2685

Schwachstelle CVE-2014-4914 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4914

Schwachstelle CVE-2014-8088 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8088

Schwachstelle CVE-2014-8089 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8089

Debian Security Advisory DSA-3265-1:
https://www.debian.org/security/2015/dsa-3265

Schwachstelle CVE-2015-3154 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3154

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.