2017-1161: PHP: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-07-06 17:23)

Neues Advisory

Version 2 (2017-07-07 14:55)

Für Fedora 26 steht PHP in der Version 7.1.7 im Status 'testing' bereit. Das Sicherheitsupdate adressiert zusätzlich die Schwachstelle CVE-2017-7890, die PHP-BUG-ID-73807 und PHP-BUG-ID-74145 werden von PHP 7.1.7 nicht adressiert.

Version 3 (2017-07-11 11:49)

Für die PHP-BUG-ID-74819 wurden die Identifier CVE-2017-11145 und CVE-2017-11146 vergeben, wobei die Schwachstelle CVE-2017-11146 nur aufgrund der unvollständigen Behebung der Schwachstelle CVE-2017-11145 existiert.

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in PHP ermöglichen einem entfernten, nicht authentisierten Angreifer beliebigen Programmcode zur Ausführung zu bringen, das Ausspähen von Informationen sowie die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe.

Die Sec Bugs #74101 und #74614 betreffen nur die PHP 7 Zweige, während der Sec Bug #74145 nur den PHP 5.6 Zweig betrifft. Der Sec Bug #73807 wurde bereits mit den März Release von PHP 7.0.17 und PHP 7.1.3 behoben, jedoch erst jetzt auch in PHP 5.6.31 adressiert.

Die Entwickler von PHP haben bislang die Version 7.0.21 als Sicherheitsupdate veröffentlicht.

Für Fedora 24 und 25 stehen Sicherheitsupdates in Form der Pakete 'php-5.6.31-1.fc24' und 'php-7.0.21-1.fc25' im Status 'pending' bzw. 'testing' bereit.

Schwachstellen:

CVE-2017-11142

Schwachstelle in PHP ermöglicht Denial-of-Service-Angriff

CVE-2017-11143

Schwachstelle in PHP ermöglicht Denial-of-Service-Angriff

CVE-2017-11144

Schwachstelle in PHP ermöglicht Denial-of-Service-Angriff

CVE-2017-11145

Schwachstelle in PHP ermöglicht Ausspähen von Informationen

CVE-2017-11146

Schwachstelle in PHP ermöglicht Ausspähen von Informationen

CVE-2017-7890

Schwachstelle in LibGD ermöglicht Ausspähen von Informationen

CVE-2017-9224

Schwachstelle in Onigurama ermöglicht u. a. Denial-of-Service-Angriff

CVE-2017-9226

Schwachstelle in Oniguruma ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-9227

Schwachstelle in Oniguruma ermöglicht u. a. Denial-of-Service-Angriff

CVE-2017-9228

Schwachstelle in Oniguruma ermöglicht Denial-of-Service-Angriff

CVE-2017-9229

Schwachstelle in Oniguruma ermöglicht Denial-of-Service-Angriff

PHP-BUG-ID-74101

Schwachstelle in PHP ermöglicht Ausspähen von Informationen

PHP-BUG-ID-74111

Schwachstelle in PHP ermöglicht Denial-of-Service-Angriff

PHP-BUG-ID-74603

Schwachstelle in PHP ermöglicht Denial-of-Service-Angriff oder Ausführung beliebigen Programmcodes

PHP-BUG-ID-74614

Schwachstelle in PHP ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.