DFN-CERT-2014-0281 PHP: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][Fedora]

DFN-CERT-2014-0281 PHP: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

PHP <= 5.5.9 Betroffene Plattformen: Red Hat Fedora 19 Red Hat Fedora 20 Mehrere Schwachstellen in PHP ermöglichen einem entfernten, nicht authentifizierten Angreifer beliebige Programmcodes zur Ausführung zu bringen oder einen Denial-of-Service-Zustand herbeizuführen. Patch: Fedora Update FEDORA-2014-3534 https://admin.fedoraproject.org/updates/FEDORA-2014-3534/php-5.5.10-1.fc20

Patch:

Fedora Update FEDORA-2014-3537

https://admin.fedoraproject.org/updates/FEDORA-2014-3537/php-5.5.10-1.fc19

CVE-2014-2270: Schwachstelle in PHP

Ber der Bestimmung von Dateien des Typs Portable Executable (PE), das von
Windows Programmdateien benutzt wird, kann es zu einem Fehler bei
Speicherzugriffen kommen. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um durch eine speziell präparierte
PE-Datei mit dem Absturz der Anwendung einen Denial-of-Service-Zustand zu
erreichen oder beliebigen Programmcode zur Ausführung zu bringen.

CVE-2013-7327: Schwachstelle in PHP

In der Funktion gdImageCrop in ext/gd/gd.c werden Rückgabewerte nicht
geprüft. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um die Anwendung abstürzen zu lassen oder weitere,
nicht näher spezifizierte Angriffe durchzuführen.

CVE-2014-1943: Schwachstelle im Werkzeug-Paket file ermöglicht DoS

Das Werkzeug file verarbeitet indirekte “magic rules” der Bibliothek
libmagic nicht fehlerfrei. Dies kann zu einer endlosen Rekursion bei der
Bestimmung eines Dateityps führen. Einem entfernten Angreifer ermöglicht
dies durch das Bereitstellen einer präparierten Datei eine CPU-Auslastung
von 100% zu erzeugen und somit einen Denial-of-Service-Zustand
herbeizuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0281/

Schwachstelle CVE-2014-1943 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1943

Schwachstelle CVE-2013-7327 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-7327

Schwachstelle CVE-2014-2270 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2270

Fedora Update FEDORA-2014-3534:
https://admin.fedoraproject.org/updates/FEDORA-2014-3534/php-5.5.10-1.fc20

Fedora Update FEDORA-2014-3537:
https://admin.fedoraproject.org/updates/FEDORA-2014-3537/php-5.5.10-1.fc19

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben