2019-0464: PHP: Mehrere Schwachstellen ermöglichen u. a. eine Privilegieneskalation
Historie:
- Version 1 (2019-03-06 18:40)
- Neues Advisory
- Version 2 (2019-03-11 12:26)
- Für die stabile Distribution Debian Stretch (stable) steht ein Backport-Sicherheitsupdate für 'php7.0' zur Behebung der Schwachstellen CVE-2019-9637, CVE-2019-9638, CVE-2019-9639, CVE-2019-9640 und CVE-2019-9641 bereit.
- Version 3 (2019-03-27 10:51)
- Debian hat zu der Liste der mittels des über die Meldung DSA-4403-1 verteilten Sicherheitsupdates die Schwachstelle CVE-2019-9675 als behoben hinzugefügt. Diese Schwachstelle wird derzeit allerdings als 'disputed' geführt. Canonical veröffentlicht für die Distributionen Ubuntu 16.04 LTS, Ubuntu 18.04 LTS und Ubuntu 18.10 auf Backports basierende Sicherheitsupdates und behebt damit die Schwachstellen CVE-2019-9637 bis CVE-2019-9641.
- Version 4 (2019-04-23 16:17)
- Für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP3 und 12 SP4 sowie Module for Web Scripting 12 stehen Sicherheitsupdates für 'php72' zur Behebung der fünf Schwachstellen bereit.
- Version 5 (2019-04-23 19:41)
- Canonical veröffentlicht das zu USN-3922-1 korrespondierende Sicherheitsupdate für 'php5' für die Distribution Ubuntu 14.04 LTS und behebt damit neben den Schwachstellen CVE-2019-9637 bis CVE-2019-9641 zusätzlich CVE-2019-9022.
- Version 6 (2019-04-25 16:48)
- Canonical stellt ein Sicherheitsupdate für Ubuntu 12.04 ESM zur Verfügung, um die Schwachstellen CVE-2019-9637 bis CVE-2019-9641, CVE-2019-9675 und zusätzlich CVE-2019-9022 zu beheben. Letztgenannte kann ein entfernter, nicht authentisierter Angreifer für einen Denial-of-Service (DoS)-Angriff ausnutzen.
Betroffene Software
Entwicklung
Server
Betroffene Plattformen
Linux
Beschreibung:
Ein entfernter, nicht authentisierter Angreifer kann mehrere Schwachstellen in PHP ausnutzen, um Privilegien zu eskalieren, falsche Informationen darzustellen, Denial-of-Service (DoS)- oder weitere, nicht spezifizierte Angriffe durchzuführen. Eine Schwachstelle ermöglicht dem Angreifer theoretisch das Ausführen von Programmcode, was zur Zeit aber noch von einem anderen Fehler verhindert wird.
Der Hersteller stellt die PHP Releases 7.1.27, 7.2.16 und 7.3.3 zur Behebung der Schwachstellen bereit, wenngleich diese Versionen derzeit noch nicht über die PHP Download-Seiten abrufbar sind.
Für Fedora 28 und 29 stehen Sicherheitsupdates auf die PHP Version 7.2.16 (07 Mar 2019) im Status 'testing' zur Verfügung.
Schwachstellen:
CVE-2019-9637
Schwachstelle in PHP ermöglicht PrivilegieneskalationCVE-2019-9638
Schwachstelle in PHP ermöglicht Denial-of-Service-AngriffCVE-2019-9639
Schwachstelle in PHP ermöglicht Denial-of-Service-AngriffCVE-2019-9640
Schwachstelle in PHP ermöglicht Denial-of-Service-AngriffCVE-2019-9641
Schwachstelle in PHP ermöglicht Ausführen beliebigen ProgrammcodesCVE-2019-9675
Schwachstelle in PHP ermöglicht Ausführen beliebigen ProgrammcodesPHP-SEC-BUG-77329
Schwachstelle in PHP ermöglicht Denial-of-Service-AngriffPHP-SEC-BUG-77396
Schwachstelle in PHP ermöglicht Denial-of-Service-AngriffPHP-SEC-BUG-77431
Schwachstelle in PHP ermöglicht Darstellen falscher Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.