DFN-CERT

Advisory-Archiv

2017-1420: PHP: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-08-11 17:12)
Neues Advisory
Version 2 (2017-12-18 16:50)
Neues Advisory
Version 3 (2017-12-18 16:52)
Canonical stellt für Ubuntu 12.04 LTS (ESM) ein Sicherheitsupdate für 'php5' bereit, mit dem die Schwachstellen behoben werden.

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachtellen in PHP und der von diesem verwendeten RegExp-Bibliothek Oniguruma ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, das Ausspähen von Informationen, das Umgehen von Sicherheitsvorkehrungen und verschiedene Denial-of-Service-Angriffe.

Canonical stellt für Ubuntu 14.04 LTS, Ubuntu 16.04 LTS und Ubuntu 17.04 Sicherheitsupdates für PHP zur Behebung der Schwachstellen bereit. Für Ubuntu 16.04 LTS und 17.04 wird mit diesem Update die Version PHP 7.0.22 eingeführt. Die Schwachstellen CVE-2015-8994, CVE-2016-10397, CVE-2017-11143 und CVE-2017-11147 betreffen nur PHP 5, also in diesem Zusammenhang nur Ubuntu 14.04 LTS.

Schwachstellen:

CVE-2015-8994

Schwachstelle in PHP ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-10397

Schwachstelle in PHP ermöglicht u. a. Umgehen von Sicherheitsvorkehrungen

CVE-2017-11143

Schwachstelle in PHP ermöglicht Denial-of-Service-Angriff

CVE-2017-11144

Schwachstelle in PHP ermöglicht Denial-of-Service-Angriff

CVE-2017-11145

Schwachstelle in PHP ermöglicht Ausspähen von Informationen

CVE-2017-11147

Schwachstelle in PHP ermöglicht Denial-of-Service-Angriff

CVE-2017-11362

Schwachstelle in PHP ermöglicht u. a. Denial-of-Service-Angriff

CVE-2017-11628

Schwachstelle in PHP ermöglicht Denial-of-Service-Angriff oder Ausführung beliebigen Programmcodes

CVE-2017-9224

Schwachstelle in Onigurama ermöglicht u. a. Denial-of-Service-Angriff

CVE-2017-9226

Schwachstelle in Oniguruma ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-9227

Schwachstelle in Oniguruma ermöglicht u. a. Denial-of-Service-Angriff

CVE-2017-9228

Schwachstelle in Oniguruma ermöglicht Denial-of-Service-Angriff

CVE-2017-9229

Schwachstelle in Oniguruma ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.