Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (03.09.2015):
Für Fedora EPEL 7 stehen Sicherheitsupdates in Form der Pakete
php-ZendFramework2-2.4.7-2.el7 und php-guzzle-Guzzle-3.9.3-5.el7 im Status
‘testing’ zur Verfügung.
Version 2 (24.08.2015):
Debian stellt für die Distributionen Wheezy, Jessie und Stretch (testing)
Sicherheitsupdates bereit.
Version 1 (18.08.2015):
Neues Advisory
Betroffene Software:
zend framework 2 < 2.4.6 Betroffene Plattformen: Debian Linux 7.8 Wheezy Debian Linux 8.1 Jessie Debian Linux 9.0 Stretch Red Hat Fedora 21 Red Hat Fedora 22 Red Hat Fedora 23 Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter, nicht authentifizierter Angreifer kann durch das Versenden speziell präparierter XML-Dateien Denial-of-Service-Zustände auslösen, beliebige Dateien und Netzwerk-Resourcen ausspähen sowie beliebige Kommandos mit den Rechten des angemeldeten Benutzers ausführen. Für die Distributionen Fedora 21, Fedora 22 und Fedora 23 stehen Sicherheitsupdates im Status 'testing' für das Zend Framework und Guzzle zur Verfügung. Patch: Fedora Security Update FEDORA-2015-13314 https://admin.fedoraproject.org/updates/FEDORA-2015-13314/php-ZendFramework2-2.4.7-1.fc23,php-guzzle-Guzzle-3.9.3-5.fc23
Patch:
Fedora Security Update FEDORA-2015-13488
Patch:
Fedora Security Update FEDORA-2015-13529
Patch:
Debian Security Advisory DSA-3340-1
https://www.debian.org/security/2015/dsa-3340
Patch:
Fedora Security Update FEDORA-EPEL-2015-7845
CVE-2015-5161: Schwachstelle in Zend Framework ermöglicht u.a. Ausführung
beliebiger Kommandos
In der Komponente “Zend_XmlRpc_Server” des Zend Frameworks bevor 1.12.14,
2.x bevor 2.4.6 und 2.5.x bevor 2.5.2 besteht eine Schwachstelle aufgrund
unzureichender Authentifizierungsmaßnahmen für externe Entitäten. Dadurch
ist das Framework gegenüber XML-Externe-Entitäten-Einschleusung (XXE)
verwundbar.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1276/
Schwachstelle CVE-2015-5161 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5161
Fedora Security Update FEDORA-2015-13314:
https://admin.fedoraproject.org/updates/FEDORA-2015-13314/php-ZendFramework2-2.4.7-1.fc23,php-guzzle-Guzzle-3.9.3-5.fc23
Fedora Security Update FEDORA-2015-13488:
https://admin.fedoraproject.org/updates/FEDORA-2015-13488/php-ZendFramework2-2.4.7-1.fc21,php-guzzle-Guzzle-3.9.3-5.fc21
Fedora Security Update FEDORA-2015-13529:
https://admin.fedoraproject.org/updates/FEDORA-2015-13529/php-ZendFramework2-2.4.7-1.fc22,php-guzzle-Guzzle-3.9.3-5.fc22
Debian Security Advisory DSA-3340-1:
https://www.debian.org/security/2015/dsa-3340
Fedora Security Update FEDORA-EPEL-2015-7845:
https://bodhi.fedoraproject.org/updates/php-guzzle-Guzzle-3.9.3-5.el7%20php-ZendFramework2-2.4.7-2.el7
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
