2018-0010: PHP: Mehrere Schwachstellen ermöglichen u.a. einen Cross-Site-Scripting-Angriff
Historie:
- Version 1 (2018-01-05 16:18)
- Neues Advisory
Betroffene Software
Entwicklung
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Eine Schwachstelle (PHP-BUG-ID-74782) in der PHP-Komponente 'Phar' ermöglicht einem entfernten, nicht authentisierten Angreifer unter Umständen die Ausführung eines Cross-Site-Scritping (XSS)-Angriffes. Weitere Schwachstellen ermöglichen einem einfach authentisierten Angreifer die Ausführung von Denial-of-Service (DoS)-Angriffen sofern es dem Angreifer gelingt PHP-Code zur Ausführung zu bringen.
Der Hersteller veröffentlicht PHP 7.0.27, 7.1.13 und 7.2.1 zur Behebung dieser und möglicherweise weiterer Schwachstellen. PHP 7.0.27 ist nicht von den PHP Bugs #75074 und #75511 betroffen.
Für Fedora 26 und 27 stehen Sicherheitsupdates für das Paket 'php' auf die Version 7.1.13 im Status 'testing' bereit.
Schwachstellen:
CVE-2015-8866
Schwachstelle in PHP ermöglicht Ausspähen von InformationenPHP-BUG-ID-74782
Schwachstelle in PHP-Komponente Phar ermöglicht Cross-Site-Scripting-AngriffPHP-BUG-ID-75074
Schwachstelle in PHP ermöglicht Denial-of-Service-AngriffPHP-BUG-ID-75511
Schwachstelle in PHP ermöglicht Denial-of-Service-AngriffPHP-BUG-ID-75535
Schwachstelle in PHP ermöglicht Denial-of-Service-AngriffPHP-BUG-ID-75571
Schwachstelle in PHP und libgd2 ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.