2016-0213: PHP: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2016-02-05 17:51): Neues Advisory

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

Mehrere Schwachstelle in PHP ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausführen beliebigen Programmcodes, das Ausspähen von Informationen, die Manipulation von Daten und das Durchführen eines Denial-of-Service (DoS)-Angriffs.

Die Entwickler von PHP haben für die Versionszweige 5.5, 5.6 und 7.0 von PHP Sicherheitsupdates auf die Versionen 5.5.32, 5.6.18 und 7.0.3 zur Verfügung gestellt, um diese Schwachstellen zu beheben.

Fedora stellt Sicherheitsupdates für Fedora 22 und Fedora 23 in Form der Pakete php-5.6.18-1.fc22 und php-5.6.18-1.fc23 im Status 'testing' zur Verfügung. Die Schwachstellen PHP-BUG-ID-71311, PHP-BUG-ID-71313 und PHP-BUG-ID-71475 betreffen nur PHP 7.x bzw. 7.0.3RC1 und werden deshalb von Fedora nicht aufgeführt.

Schwachstellen:

PHP-BUG-ID-71039

Schwachstelle in PHP ermöglicht Ausführen beliebigen Programmcodes

PHP-BUG-ID-71311

Use-after-free-Schwachstelle in PHP ermöglicht Ausführen beliebigen Programmcodes

PHP-BUG-ID-71313

Use-after-free-Schwachstelle in PHP ermöglicht Ausführen beliebigen Programmcodes

PHP-BUG-ID-71323

Schwachstelle in PHP ermöglicht Manipulation von Daten

PHP-BUG-ID-71335

Type-Confusion-Schwachstelle in WDDX Packet Deserialization ermöglicht Ausführen beliebigen Programmcodes

PHP-BUG-ID-71354

Heap-Corruption-Schwachstelle in PHP ermöglicht Ausführen beliebigen Programmcodes

PHP-BUG-ID-71391

Schwachstelle in PHP ermöglicht eine Denial-of-Service-Angriff

PHP-BUG-ID-71459

Integer-Overflow-Schwachstelle in PHP ermöglicht Ausführen beliebigen Programmcodes

PHP-BUG-ID-71475