DFN-CERT

Advisory-Archiv

2019-0927: PHP Phar Stream Wrapper: Zwei Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2019-05-09 14:03)
Neues Advisory
Version 2 (2019-05-15 15:37)
Für die stabile Distribution Debian Stretch (9.9) steht ein Sicherheitsupdate auf die Version 7.52-2+deb9u9 bereit, um die Schwachstelle CVE-2019-11831 zu beheben.
Version 3 (2019-05-17 16:17)
Für Fedora 28, 29 und 30 sowie Fedora EPEL 6 und 7 stehen Sicherheitsupdates für 'drupal7' bereit. Die Software wird damit auf Version 7.67 aktualisiert. Im Sicherheitshinweis wird mit TYPO3-PSA-2019-007 nur eine Schwachstelle (CVE-2019-11831) explizit als behoben erwähnt. Die Sicherheitsupdates, mit Ausnahme des Updates für Fedora 30, befinden sich im Status 'testing'. Das Update für Fedora 30 besitzt noch den Status 'pending'.
Version 4 (2019-06-18 12:19)
Für die Distributionen Fedora 29 und Fedora 30 sowie Fedora EPEL 7 stehen Sicherheitsupdates in Form von 'php-brumann-polyfill-unserialize-1.0.3-1'- und 'php-typo3-phar-stream-wrapper2-2.1.2-1'- Paketen im Status 'testing' zur Behebung der Schwachstellen zur Verfügung.

Betroffene Software

Entwicklung
Server
Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Zwei Schwachstellen im PHP Phar Stream Wrapper ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen.

Der Hersteller stellt Sicherheitsupdates auf Version 3.1.1 (ab PHP 7.0) bzw. 2.1.1 (ab PHP 5.3) zur Verfügung.

Für Fedora 28, 29 und 30 stehen Sicherheitsupdates für 'php-typo3-phar-stream-wrapper' im Status 'testing' bereit. Die Software wird damit auf Version 3.1.1 aktualisiert. Im Sicherheitshinweis wird mit TYPO3-PSA-2019-007 nur eine Schwachstelle (CVE-2019-11831) explizit erwähnt.

Für Drupal 8.7, 8.6 und 7 stehen mit den Versionen 8.7.1, 8.6.16 und 7.67 Sicherheitsupdates bereit. Diese adressieren ebenfalls nur die Schwachstelle TYPO3-PSA-2019-007 (CVE-2019-11831). Der Hersteller weist darauf hin, dass Drupal vor Version 8.6 nicht mehr mit Sicherheitsupdates versorgt wird.

Schwachstellen:

CVE-2019-11830

Schwachstelle in PHP Phar Stream Wrapper ermöglicht u. a. Umgehen von Sicherheitsvorkehrungen

CVE-2019-11831

Schwachstelle in PHP Phar Stream Wrapper ermöglicht u. a. Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.