2018-1882: PHP: Mehrere Schwachstellen ermöglichen u. a. verschiedene Denial-of-Service-Angriffe
Historie:
- Version 1 (2018-09-18 16:39)
- Neues Advisory
- Version 2 (2018-09-19 15:25)
- Für Ubuntu 12.04 LTS (ESM) steht ein zu USN-3766-1 korrespondierendes Sicherheitsupdate für 'php5' bereit, mit dem die Schwachstellen CVE-2018-14851 und CVE-2018-14883 adressiert werden.
Betroffene Software
Entwicklung
Server
Betroffene Plattformen
Linux
Beschreibung:
Mehrere Schwachstellen in der PHP-Komponente FPM und EXIF ermöglichen einem lokalen, einfach authentisierten Angreifer mit Hilfe von speziell präpariertem PHP-Skripten die Vorbereitung von verschiedenen Denial-of-Service (DoS)-Angriffen, welche sich später aus der Ferne ausführen lassen. Die Schwachstellen CVE-2018-14851 und CVE-2018-14883 ermöglichen dem Angreifer zudem die Ausführung beliebigen Programmcodes. Die Schwachstelle CVE-2015-9253 lässt sich auch aus der Ferne für einen Denial-of-Service-Angriff auf geteilte PHP-Server ausnutzen.
Für Ubuntu 18.04 LTS, 16.04 LTS und 14.04 LTS stehen Sicherheitsupdates für die Pakete 'php7.2', 'php7' bzw. 'php5' (jeweils von der Ubuntu Version abhängig) zur Behebung der Schwachstellen bereit. Ubuntu weist in dem Sicherheitshinweis USN-3766-1 darauf hin, dass die Schwachstelle CVE-2015-9253 nur in Ubuntu 18.04 LTS behoben wurde. Dies ist vermutlich eine veraltete Information, da inzwischen Sicherheitsupdates für die in den Distributionen 16.04 LTS und 14.04 LTS verwendeten Pakete bereitstehen.
Schwachstellen:
CVE-2015-9253
Schwachstelle in PHP-Komponente FPM ermöglicht Denial-of-Service-AngriffCVE-2018-14851
Schwachstelle in PHP-Komponente EXIF ermöglicht Denial-of-Service-AngriffCVE-2018-14883
Schwachstelle in PHP-Komponente EXIF ermöglicht u. a. Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.