DFN-CERT-2013-1603 PHP: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora]

DFN-CERT-2013-1603 PHP: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

PHP <= 5.5.1 Canonical Ubuntu Linux <= 13.04 Red Hat Fedora <= 18 Betroffene Plattformen: Debian Fedora Linux Ubuntu Eine Schwachstelle in PHP ermöglicht einem entfernten Angreifer einen Man-in-the-Middle Angriff durchzuführen. Patch: Fedora Update Notification https://admin.fedoraproject.org/updates/FEDORA-2013-14985/php-5.4.19-1.fc18

Patch:

Ubuntu Security Notice USN-1937-1

http://www.ubuntu.com/usn/usn-1937-1/

CVE-2013-4248: Schwachstelle im PHP Modul OpensSSL

Die Funktion ‘openssl_x509_parse’ im Modul OpenSSL in PHP vor Version 5.4.18
und Version 5.5.2 behandelt NULL-Zeichen im Domainnamen im Feld
SubjectAlternative Name eines Zertifikates nicht korrekt. Ein Angreifer kann
diese Schwachstelle dazu ausnutzen, ein Zertifikat mit NULL-Zeichen zu
konstruieren und damit vorgeben, dass sein Zertifikat zu einer anderen Seite
gehört. Allerdings muss er dazu sein Zertifikat von einer vertrauenswürdigen
CA signieren lassen. Auf diese Weise kann er einen Man-in-the-Middle Angriff
durchführen und an vertrauliche Daten des Benutzers gelangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1603/

Fedora Update Notification:
https://admin.fedoraproject.org/updates/FEDORA-2013-14985/php-5.4.19-1.fc18

Schwachstelle CVE-2013-4248 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4248

http://www.php.net/ChangeLog-5.php:
http://www.php.net/ChangeLog-5.php

Ubuntu Security Notice USN-1937-1:
http://www.ubuntu.com/usn/usn-1937-1/

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben