2019-2206: PHP: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-10-24 15:28)

Neues Advisory

Version 2 (2019-10-25 12:37)

Der Hersteller hat PHP 7.1.33 als Sicherheitsupdate veröffentlicht, welches die Schwachstelle ebenfalls behebt.

Version 3 (2019-10-28 09:16)

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'php5' auf Version 5.6.40+dfsg-0+deb8u7 bereit, um die Schwachstelle zu beheben.

Version 4 (2019-10-29 09:50)

Canonical stellt für Ubuntu 19.10, 19.04, 18.04 LTS und 16.04 LTS Sicherheitsupdates für die dort jeweils eingesetzten Versionszweige von PHP bereit.

Version 5 (2019-10-29 12:27)

Debian stellt für die alte stabile Distribution Stretch (9.11) ein Sicherheitsupdate für 'php7.0' auf Version 7.0.33-0+deb9u6 sowie für die stabile Distribution Buster (10.1) ein Sicherheitsupdate für 'php7.3' auf Version 7.3.11-1~deb10u1 bereit.

Version 6 (2019-10-29 15:04)

Canonical stellt korrespondierend zur Meldung USN-4166-1 Sicherheitsupdates für Ubuntu 12.04 ESM und Ubuntu 14.04 ESM bereit.

Version 7 (2019-10-30 14:57)

Für das SUSE Linux Enterprise Module for Web Scripting 12 sowie SUSE Linux Enterprise Software Development Kit 12 SP4 und SP5 stehen Sicherheitsupdates für 'php7' zur Behebung der Schwachstelle zur Verfügung.

Version 8 (2019-10-30 17:33)

Für die SUSE Linux Enterprise Produkte Module for Web Scripting 15 und 15 SP1, Module for Packagehub Subpackages 15 sowie Module for Open Buildservice Development Tools 15 und 15 SP1 stehen Sicherheitsupdates für 'php7' bereit.

Version 9 (2019-11-01 11:06)

Für Red Hat Enterprise Linux 6 und 7 sowie für Oracle Linux 6 und 7 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'php' bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise Linux (RHEL) Desktop, Server und Workstation 6 und 7, RHEL EUS 7.7, RHEL Server AUS 7.7 und TUS 7.7, RHEL for Scientific Computing 6 und 7 und RHEL EUS Compute Node 7.7 zur Verfügung.

Version 10 (2019-11-01 17:07)

Für Red Hat Software Collections (for RHEL Server) 1 für Red Hat Enterprise Linux (RHEL) 7, 7.5, 7.6 und 7.7 sowie (for RHEL Workstation) 1 für RHEL 7 stehen Sicherheitsupdates für 'rh-php71-php' bereit, um die Schwachstelle zu beheben.

Version 11 (2019-11-06 08:44)

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'php7' bereit, um die Schwachstelle zu beheben.

Version 12 (2019-11-06 15:08)

Für Red Hat Software Collections (for RHEL Server) 1 für Red Hat Enterprise Linux (RHEL) 6, 7, 7.5, 7.6 und 7.7 sowie (for RHEL Workstation) 1 für RHEL 6 und 7 stehen Sicherheitsupdates für 'rh-php70-php' bereit, um die Schwachstelle zu beheben.

Version 13 (2019-11-06 18:35)

Für Red Hat Enterprise Linux 8 und Red Hat Enterprise Linux 8.1 EUS stehen Sicherheitsupdates zur Behebung der Schwachstelle für verschiedene Hardware-Plattformen bereit. Dieses Update wird im Zusammenhang mit der Veröffentlichung von Red Hat Enterprise Linux 8.1 bereitgestellt.

Version 14 (2019-11-06 18:46)

Für Red Hat Enterprise Linux 8 und Red Hat Enterprise Linux 8.1 EUS stehen Sicherheitsupdates von 'php:7.2' zur Behebung der Schwachstelle für verschiedene Hardware-Plattformen bereit. Dieses Update wird im Zusammenhang mit der Veröffentlichung von Red Hat Enterprise Linux 8.1 bereitgestellt.

Version 15 (2019-11-06 19:50)

Für SUSE Linux Enterprise Software Development Kit 12 SP4 und 12 SP5 sowie SUSE Linux Enterprise Module for Web Scripting 12 stehen Sicherheitsupdates für 'php72' bereit.

Version 16 (2019-11-11 11:52)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für 'php7' bereit, um die Schwachstelle zu beheben.

Version 17 (2019-11-25 10:30)

Für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates für 'php:7.2' und 'php:7.3' bereit, um die Schwachstelle zu beheben.

Version 18 (2020-07-07 18:53)

Für Red Hat Enterprise Linux 7.6 Extended Update Support unter anderem in den speziellen Editionen Server 7.6 AUS und TUS und für Red Hat Enterprise Linux 7.6 EUS Compute Node stehen Sicherheitsupdates für 'php' bereit.

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein entfernter Angreifer kann eine Schwachstelle in PHP ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen und möglicherweise beliebigen Programmcode zur Ausführung zu bringen, wenn bestimmte Konfigurationen von 'nginx' und 'php-fpm' eingesetzt werden.

Der Hersteller hat PHP 7.2.24 und 7.3.11 als Sicherheitsupdates veröffentlicht.

Für Fedora 29, 30 und 31 stehen Sicherheitsupdates in Form der Pakete 'php-7.2.24-1.fc29' und 'php-7.3.11-1.fc30' im Status 'pending' bzw. 'php-7.3.11-1.fc31' im Status 'testing' zur Behebung der Schwachstelle bereit.

Schwachstellen:

CVE-2019-11043

Schwachstelle in PHP ermöglicht u. a. Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.