2016-1179: PHP: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2016-07-22 13:44)
- Neues Advisory
- Version 2 (2016-07-27 15:55)
- Debian stellt für die Distribution Debian Jessie (stable) ein Sicherheitsupdate auf PHP 5.6.24 bereit, um die betreffenden Schwachstellen zu beheben. Für mehrere PHP 'Sec Bugs' wurden zwischenzeitlich CVE-Identifier zugewiesen.
Betroffene Software
Entwicklung
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in PHP ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausführen beliebigen Programmcodes, Ausspähen von Informationen, Durchführen verschiedener Denial-of-Service (DoS)-Angriffe sowie das Umleiten des ausgehenden HTTP-Verkehrs einer Anwendung auf einen beliebigen, schädlichen Proxy-Server ("httpoxy"-Problem). Die Schwachstellen PHP-BUG-ID-72519, PHP-BUG-ID-72541, PHP-BUG-ID-72551 und PHP-BUG-ID-72552 betreffen nur die PHP Version 7.0.8.
PHP stellt die stabilen Versionen 5.5.38, 5.6.24 und 7.0.9 als Sicherheitsupdates bereit, durch die mehrere sicherheitsrelevante Schwachstellen (Sec Bugs) und zahlreiche weitere Programmfehler behoben werden. Über einige dieser Schwachstellen liegen keine weiteren Informationen vor, da die entsprechenden Bug-Referenzen (derzeit noch) als 'private' markiert sind.
Für Fedora 23 und 24 stehen Sicherheitsupdates für PHP auf die Version 5.6.24 im Status 'testing' bereit.
Schwachstellen:
CVE-2016-5385
Schwachstelle in PHP ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2016-5399
Schwachstelle in PHP ermöglicht Ausführen beliebigen ProgrammcodesCVE-2016-6207
Schwachstelle in LibGD ermöglicht Ausführen beliebigen ProgrammcodesCVE-2016-6288
Schwachstelle in PHP ermöglicht Denial-of-Service-AngriffCVE-2016-6289
Schwachstelle in PHP ermöglicht Denial-of-Service-AngriffCVE-2016-6290
Schwachstelle in PHP ermöglicht Ausführen beliebigen ProgrammcodesCVE-2016-6291
Schwachstelle in PHP ermöglicht u.a. Ausführen beliebigen ProgrammcodesCVE-2016-6292
Schwachstelle in PHP ermöglicht Denial-of-Service-AngriffCVE-2016-6294
Schwachstelle in PHP ermöglicht Denial-of-Service-AngriffCVE-2016-6295
Schwachstelle in PHP ermöglicht Ausführen beliebigen ProgrammcodesCVE-2016-6296
Schwachstelle in xmlrpc-epi ermöglicht Ausführen beliebigen ProgrammcodesCVE-2016-6297
Schwachstelle in PHP PECL ermöglicht Ausführen beliebigen ProgrammcodesPHP-BUG-ID-72519
Schwachstelle in LibGD ermöglicht Denial-of-Service-AngriffPHP-BUG-ID-72541
Schwachstelle in PHP ermöglicht Denial-of-Service-AngriffPHP-BUG-ID-72551
Schwachstelle in PHP ermöglicht Denial-of-Service-AngriffPHP-BUG-ID-72552
Schwachstelle in PHP ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.