2016-0676: PHP: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2016-04-26 13:30): Neues Advisory
Version 2 (2016-04-28 13:21): Für SUSE Linux Enterprise Software Development Kit 12 und 12 SP1, für das SUSE Linux Enterprise Module for Web Scripting 12 sowie für openSUSE 13.2 stehen Sicherheitsupdates in Form aktualisierter 'php5' Pakete zur Verfügung. Die Schwachstelle CVE-2015-7803 wird weder von SUSE noch von openSUSE, die Schwachstelle CVE-2016-2554 nur von openSUSE nicht adressiert.
Version 3 (2016-04-29 12:24): Für die Distribution openSUSE Leap 42.1 steht ein Sicherheitsupdate für PHP5 bereit, welches die aufgelisteten Schwachstellen mit Ausnahme der Denial-of-Service-Schwachstelle CVE-2015-7803 adressiert.

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in PHP ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes, verschiedene Denial-of-Service (DoS)-Angriffe, das Ausspähen von Informationen, die Manipulation von Dateien und (als Man-in-the-Middle (MitM)-Angreifer) das Abhören verschlüsselter Kommunikation.

Für SUSE Linux Enterprise Software Development Kit 11-SP4 und Server 11-SP4 stehen Backport-Sicherheitsupdates in Form aktualisierter Pakete von 'php53' zur Verfügung.

Schwachstellen:

CVE-2014-9767

Schwachstelle in PHP ermöglicht Manipulation von Dateien