Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (19.09.18):
Für Ubuntu 12.04 LTS (ESM) steht ein zu USN-3766-1 korrespondierendes
Sicherheitsupdate für ‘php5’ bereit, mit dem die Schwachstellen
CVE-2018-14851 und CVE-2018-14883 adressiert werden.
Version 1 (18.09.18):
Neues Advisory

Mehrere Schwachstellen in der PHP-Komponente FPM und EXIF ermöglichen einem
lokalen, einfach authentisierten Angreifer mit Hilfe von speziell
präpariertem PHP-Skripten die Vorbereitung von verschiedenen Denial-of-
Service (DoS)-Angriffen, welche sich später aus der Ferne ausführen lassen.
Die Schwachstellen CVE-2018-14851 und CVE-2018-14883 ermöglichen dem
Angreifer zudem die Ausführung beliebigen Programmcodes. Die Schwachstelle
CVE-2015-9253 lässt sich auch aus der Ferne für einen Denial-of-Service-
Angriff auf geteilte PHP-Server ausnutzen.

Für Ubuntu 18.04 LTS, 16.04 LTS und 14.04 LTS stehen Sicherheitsupdates für
die Pakete ‘php7.2’, ‘php7’ bzw. ‘php5’ (jeweils von der Ubuntu Version
abhängig) zur Behebung der Schwachstellen bereit. Ubuntu weist in dem
Sicherheitshinweis USN-3766-1 darauf hin, dass die Schwachstelle
CVE-2015-9253 nur in Ubuntu 18.04 LTS behoben wurde. Dies ist vermutlich
eine veraltete Information, da inzwischen Sicherheitsupdates für die in den
Distributionen 16.04 LTS und 14.04 LTS verwendeten Pakete bereitstehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1882]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html