2018-0191: PHP: Zwei Schwachstellen ermöglichen u.a. einen Cross-Site-Scripting-Angriff
Historie:
- Version 1 (2018-01-26 17:18)
- Neues Advisory
- Version 2 (2018-01-29 10:50)
- Für openSUSE Leap 42.2 und 42.3 stehen Sicherheitsupdates für 'php5' zur Behebung der beiden Schwachstellen bereit. Die Schwachstelle CVE-2018-5711 wird zusätzlich in einem Sicherheitsupdate für 'gd' in SUSE Linux Enterprise Software Development Kit, Server und Debuginfo 11 SP4 adressiert.
- Version 3 (2018-01-31 11:51)
- Für SUSE Linux Enterprise Software Development Kit 12 SP2 und 12 SP3 sowie SUSE Linux Enterprise Module for Web Scripting 12 stehen nun auch Sicherheitsupdates für 'php7' bereit, um die beiden Schwachstellen zu beheben.
- Version 4 (2018-02-01 10:36)
- Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'php7' zur Verfügung, um die beiden Schwachstellen zu beheben.
Betroffene Software
Entwicklung
Server
Betroffene Plattformen
Linux
Beschreibung:
Eine Schwachstelle (CVE-2018-5712, PHP-BUG-ID-74782) in der PHP-Komponente PHAR ermöglicht einem entfernten, nicht authentisierten Angreifer unter Umständen die Durchführung eines Cross-Site-Scritping (XSS)-Angriffes, infolgedessen der Angreifer Informationen ausspähen kann. Eine weitere Schwachstelle (CVE-2018-5711, PHP-BUG-ID-75571) in der PHP-Komponente GD ermöglicht einem entfernten, nicht authentisierten Angreifer einen Denial-of-Service (DoS)-Angriff mit Hilfe einer speziell präparierten Bilddatei des Typs 'GIF'.
Für SUSE Linux Enterprise Software Development Kit 12 SP2 und 12 SP3 sowie SUSE Linux Enterprise Module for Web Scripting 12 stehen Backport-Sicherheitsupdates bereit, um die beiden Schwachstellen zu beheben.
Schwachstellen:
CVE-2018-5711
Schwachstelle in PHP und libgd2 ermöglicht Denial-of-Service-AngriffCVE-2018-5712
Schwachstelle in PHP-Komponente PHAR ermöglicht Cross-Site-Scripting-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.