2017-1890: PHP: Mehrere Schwachstellen ermöglichen u.a. einen Denial-of-Service-Angriff
Historie:
- Version 1 (2017-10-27 17:18)
- Neues Advisory
- Version 2 (2017-10-30 16:27)
- Für Fedora 25 steht eine Sicherheitsupdate auf die PHP Version 7.0.25 im Status 'testing' zur Verfügung.
Betroffene Software
Entwicklung
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein entfernter, nicht authentifizierter Angreifer kann eine Schwachstelle in der Komponente PCRE von PHP durch speziell präparierte reguläre Ausdrücke ausnutzen, um einen Pufferüberlauf zu erzeugen und in der Folge einen Denial-of-Service-Angriff oder weitere nicht spezifizierte Angriffe durchzuführen. Weitere, allerdings lediglich als Bugs gekennzeichnete Fehler in PHP können möglicherweise ebenfalls von einem solchen Angreifer für verschiedene Denial-of-Service (DoS)-Angriffe ausgenutzt werden.
Die Entwickler von PHP haben bislang die Versionen 7.0.25 und 7.1.11 als Sicherheitsupdates veröffentlicht. Informationen zu den genannten und weiteren Bugs finden sich im zugehörigen ChangeLog.
Für Fedora 26 und 27 stehen Sicherheitsupdates in Form der Pakete 'php-7.1.11-1.fc26' im Status 'testing' und 'php-7.1.11-1.fc27' im Status 'pending' bereit.
Schwachstellen:
CVE-2016-1283
Schwachstelle in PCRE ermöglicht Denial-of-Service-AngriffPHP-BUG-ID-72535
Schwachstelle in PHP ermöglicht Denial-of-Service-AngriffPHP-BUG-ID-75055
Schwachstelle in PHP ermöglicht Denial-of-Service-AngriffPHP-BUG-ID-75220
Schwachstelle in PHP ermöglicht Denial-of-Service-AngriffPHP-BUG-ID-75241
Schwachstelle in PHP ermöglicht Denial-of-Service-AngriffPHP-BUG-ID-75255
Schwachstelle in PHP ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.