DFN-CERT-2014-1092 PHP: Mehrere Schwachstellen ermöglichen das Auführen von beliebigem Code und Denial-of-Service [Linux][Debian]

DFN-CERT-2014-1092 PHP: Mehrere Schwachstellen ermöglichen das Auführen von beliebigem Code und Denial-of-Service [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

PHP 5.4.4

Betroffene Plattformen:

Debian Linux 7.6 Wheezy

Mehrere Schwachstellen in PHP ermöglichen es einem entfernten und zumeist
nicht authentisierten Angreifer einen Denial-of-Service-Zustand und
beliebigen Programmcode zur Ausführung zu bringen.

Patch:

Debian Security Advisory DSA-3008-1

https://www.debian.org/security/2014/dsa-3008

CVE-2014-3597: Schwachstelle in PHP ermöglicht die Ausführung beliebigen
Codes

Es besteht eine Schwachstelle in PHP die auf eine unzureichende Behebung der
Schwachstelle CVE-2014-4049 zurückzuführen ist. Das Parsen von von
veränderten DNS TXT Records kann zu einem Speicherüberlauf führen. Ein
entfernter, nicht authentisierter Angreifer kann als “man-in-the-middle”,
mit Hilfe von veränderten DNS TXT Records die Schwachstelle zur Ausführung
von beliebigem Code ausnutzen.

CVE-2014-3587: Schwachstelle in PHP ermöglicht Denial-of-Service

Das Modul “fileinfo” in PHP enthält eine Schwachstelle, die Dateien im
“Composit-Document” (CDF) Format falsch bearbeitet. Ein Angreifer kann die
Schwachstelle unter Verwendung einer veränderten CDF-Datei dazu verwenden
einen Denial-of-Service-Angriff auszuführen.

CVE-2014-3538: Denial-of-Service-Schwachstelle in File

File vor Version 5.19 beschränkt die Datenmenge während einer “regex” Suche
nicht korrekt. Ein entfernter, nicht authentifizierter Angreifer kann
dadurch eine hohe CPU Last erzeugen und einen Denial-of-Service-Zustand
bewirken. Die Schwachstelle ist durch einen unvollständigen Fix der
Schwachstelle CVE-2013-7345 entstanden.

CVE-2014-4670: Use-after-free-Schwachstelle in PHP5

In PHP bis Version 5.5.14 besteht eine Use-after-free-Schwachstelle in
ext/spl/spl_dllist.c. Die Schwachstelle kann durch einen entfernten, nicht
authentifizierten Angreifer für einen Denial-of-Service-Angriff ausgenutzt
werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1092/

Schwachstelle CVE-2014-3538 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3538

Schwachstelle CVE-2014-4670 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4670

Debian Security Advisory DSA-3008-1:
https://www.debian.org/security/2014/dsa-3008

Schwachstelle CVE-2014-3587 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3587

Schwachstelle CVE-2014-3597 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3597

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben