UPDATE: DFN-CERT-2015-0286 PHP5: Zwei Schwachstellen in PHP5 ermöglichen das Ausführen von beliebigem Programmcode [Linux][SuSE]

UPDATE: DFN-CERT-2015-0286 PHP5: Zwei Schwachstellen in PHP5 ermöglichen das Ausführen von beliebigem Programmcode [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (06.03.2015):
openSUSE stellt für die Distributionen openSUSE 13.1 und openSUSE 13.2
Sicherheitsupdates zur Verfügung.
Version 1 (04.03.2015):
Neues Advisory

Betroffene Software:

PHP <= 5.4.37 PHP <= 5.5.21 PHP <= 5.6.5 Betroffene Plattformen: SUSE Linux Enterprise Module for Web Scripting 12 SUSE Software Development Kit 12 Enterprise openSUSE 13.1 openSUSE 13.2 Zwei Schwachstellen in PHP5 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausspähen von Informationen oder das Ausführen von beliebigem Programmcode. Patch: SUSE Security Update SUSE-SU-2015:0424-1 http://lists.opensuse.org/opensuse-security-announce/2015-03/msg00002.html

Patch:

openSUSE Security Update openSUSE-SU-2015:0440-1

http://lists.opensuse.org/opensuse-security-announce/2015-03/msg00004.html

CVE-2015-0273: Schwachstelle in DateTimeZone von PHP ermöglicht das
Ausführen beliebigen Programmcodes

In DateTimeZone von PHP wird mit unserialize() bereits freigegebener
Speicher weiterhin benutzt (use-after-free). Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
beliebigen Programmcode auszuführen.

CVE-2014-9652: Schwachstelle in PHP fileinfo-Erweiterung ermöglicht
Ausspähen von Informationen

In der PHP fileinfo-Erweiterung kann es in der Funktion mconvert() zu einem
Lesen über Puffergrenzen kommen (out-of-bounds read). Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
Informationen auszuspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0286/

Schwachstelle CVE-2014-9652 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9652

Schwachstelle CVE-2015-0273 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0273

SUSE Security Update SUSE-SU-2015:0424-1:
http://lists.opensuse.org/opensuse-security-announce/2015-03/msg00002.html

openSUSE Security Update openSUSE-SU-2015:0440-1:
http://lists.opensuse.org/opensuse-security-announce/2015-03/msg00004.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben