2017-1046: PHP: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2017-06-19 12:57)
- Neues Advisory
- Version 2 (2017-06-26 11:54)
- Für SUSE Linux Enterprise Software Development Kit 12 SP2 und SUSE Linux Enterprise Module for Web Scripting 12 steht ein Sicherheitsupdate für 'php5' bereit. Die Schwachstelle CVE-2017-7272 wird darin nicht adressiert.
- Version 3 (2017-06-30 11:27)
- Die Sicherheitsupdates zur Behebung der genannten Schwachstellen mit Ausnahme von CVE-2017-7272 für SUSE Linux Enterprise Software Development Kit 12 SP2 und SUSE Linux Enterprise Module for Web Scripting 12 stehen jetzt auch für 'php7' bereit.
- Version 4 (2017-07-03 15:22)
- Für openSUSE Leap 42.2 stehen Sicherheitsupdates für 'php5' zur Behebung der Schwachstellen mit Ausnahme von CVE-2017-7272 bereit.
- Version 5 (2017-07-07 11:13)
- Für openSUSE Leap 42.2 stehen weitere Sicherheitsupdates für 'php7' zur Behebung der Schwachstellen mit Ausnahme von CVE-2017-7272 bereit. Außerdem wird die Schwachstelle Denial-of-Service-Schwachstelle CVE-2017-6441 adressiert, welche vom Hersteller allerdings als nicht sicherheitsrelevant angesehen wird (*DISPUTED* bei NVD).
Betroffene Software
Entwicklung
Server
Betroffene Plattformen
Linux
Beschreibung:
Mehrere Schwachstellen in PHP und der in einigen PHP-Funktionen verwendeten Bibliothek Oniguruma ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, das Ausspähen von Informationen sowie die Durchführung von Denial-of-Service (DoS)- und Server-Side-Request-Forgery (SSRF)-Angriffen.
Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Debuginfo in Version 11 SP4 stehen Sicherheitsupdates für 'php53' bereit.
Schwachstellen:
CVE-2016-6294
Schwachstelle in PHP ermöglicht Denial-of-Service-AngriffCVE-2017-7272
Schwachstelle in PHP ermöglicht Server-Side-Request-Forgery-AngriffCVE-2017-9224
Schwachstelle in Onigurama ermöglicht u. a. Denial-of-Service-AngriffCVE-2017-9226
Schwachstelle in Oniguruma ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-9227
Schwachstelle in Oniguruma ermöglicht u. a. Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.