DFN-CERT-2015-1382 PHP Doctrine Cache: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes [Linux][Fedora]

DFN-CERT-2015-1382 PHP Doctrine Cache: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

PHP Doctrine Cache <= 1.3.1 PHP Doctrine Cache <= 1.4.1 Betroffene Plattformen: Red Hat Fedora 21 Red Hat Fedora 22 Red Hat Fedora 23 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Eine Schwachstelle in PHP Doctrine Cache ermöglicht es einem lokalen, einfach authentifizierten Angreifer, beliebigen Programmcode mit den Rechten des Dienstes auszuführen. Für Fedora 21, 22 und 23 werden Sicherheitsupdates in Form der Pakete php-doctrine-cache-1.4.2-1.fc21, php-doctrine-cache-1.4.2-1.fc22 und php-doctrine-cache-1.4.2-1.fc23 im Status 'testing' zur Verfügung gestellt. Für Fedora EPEL 6 und 7 stehen Sicherheitsupdates in Form der Pakete php-doctrine-cache-1.4.2-1.el6 und php-doctrine-cache-1.4.2-1.el7 im Status 'testing' zur Verfügung. Patch: Fedora Security Update FEDORA-2015-15198 https://bodhi.fedoraproject.org/updates/FEDORA-2015-15198

Patch:

Fedora Security Update FEDORA-2015-15199

https://bodhi.fedoraproject.org/updates/FEDORA-2015-15199

Patch:

Fedora Security Update FEDORA-2015-15200

https://bodhi.fedoraproject.org/updates/FEDORA-2015-15200

Patch:

Fedora Security Update FEDORA-EPEL-2015-7960

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-7960

Patch:

Fedora Security Update FEDORA-EPEL-2015-7961

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-7961

CVE-2015-5723: Schwachstelle in PHP Doctrine Cache ermöglicht Ausführen
beliebigen Programmcodes mit den Rechten des Dienstes

Eine Schwachstelle in PHP Doctrine Cache ermöglicht es, wenn die Anwendung
mit “umask(0)” gestartet wurde, beliebigen Programmcode in
Cache-Verzeichnisse zu schreiben. Dieser wird dann mit den Benutzerrechten
des Webservers zur Ausführung gebracht.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1382/

Fedora Security Update FEDORA-2015-15198:
https://bodhi.fedoraproject.org/updates/FEDORA-2015-15198

Fedora Security Update FEDORA-2015-15199:
https://bodhi.fedoraproject.org/updates/FEDORA-2015-15199

Fedora Security Update FEDORA-2015-15200:
https://bodhi.fedoraproject.org/updates/FEDORA-2015-15200

Fedora Security Update FEDORA-EPEL-2015-7960:
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-7960

Fedora Security Update FEDORA-EPEL-2015-7961:
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-7961

Schwachstelle CVE-2015-5723 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5723

Security Misconfiguration Vulnerability in various Doctrine projects:
http://www.doctrine-project.org/2015/08/31/security_misconfiguration_vulnerability_in_various_doctrine_projects.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben