2017-2219: PHP: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe

Historie:

Version 1 (2017-12-08 15:12): Neues Advisory
Version 2 (2017-12-14 11:30): Für SUSE Linux Enterprise Software Development Kit 12 SP2 und SP3 sowie für SUSE Linux Enterprise Module for Web Scripting 12 stehen Sicherheitsupdates für 'php5' bereit mit denen die referenzierten Schwachstellen und zusätzlich die Schwachstelle CVE-2015-4025, die einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen ermöglicht, behoben werden. Im Sicherheitshinweis referenziert der Hersteller fälschlicherweise CVE-2017-4025 statt CVE-2015-4025.
Version 3 (2017-12-15 11:54): Für openSUSE Leap 42.2 und 42.3 stehen ebenfalls Sicherheitsupdates für 'php5' bereit. Auch in diesem Sicherheitshinweis referenziert der Hersteller fälschlicherweise CVE-2017-4025 statt CVE-2015-4025.
Version 4 (2018-01-02 13:22): Für SUSE Linux Enterprise Server, Software Development Kit und Debuginfo in Version 11 SP4 stehen Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Die Schwachstelle CVE-2015-4025 wird hierbei nicht erwähnt.

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in Oniguruma und PHP ermöglichen einem entfernten, nicht authentisierten Angreifer verschiedene Denial-of-Service-Angriffe.

Für openSUSE Leap 42.2 und 42.3, für SUSE Linux Enterprise Software Development Kit 12 SP2 und SP3 sowie für SUSE Linux Enterprise Module for Web Scripting 12 stehen Sicherheitsupdates für 'php7' zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2015-4025

Schwachstelle in PHP5 erlaubt Umgehen von Sicherheitsvorkehrungen

CVE-2017-16642

Schwachstelle in PHP ermöglicht Denial-of-Service-Angriff

CVE-2017-9228

Schwachstelle in Oniguruma ermöglicht Denial-of-Service-Angriff

CVE-2017-9229