2022-2598: PHP: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2022-11-16 15:37)
- Neues Advisory
Betroffene Software
Entwicklung
Server
Betroffene Plattformen
Linux
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, Denial-of-Service (DoS)-Angriffe durchzuführen, Sicherheitsvorkehrungen zu umgehen und falsche Informationen darzustellen. Eine zusätzliche Schwachstelle kann von einem Angreifer lokal für einen weiteren Denial-of-Service (DoS)-Angriff ausgenutzt werden.
Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.
Die Bewertung der Schwachstellen durch SUSE entspricht in großen Teilen der von NVD, allerdings wird die Komplexität einiger Angriffe in den SUSE-Produkten höher eingestuft.
SUSE stellt für die SUSE Linux Enterprise Produkte High Performance Computing, Module for Legacy Software, Module for Packagehub Subpackages, Server und Server for SAP Applications in der Version 15 SP4, SUSE Manager Proxy, Retail Branch Server und Server jeweils in Version 4.3 sowie openSUSE Leap 15.4 Sicherheitsupdates für 'php7' zur Behebung der Schwachstellen bereit. PHP wird damit auf die Version 7.4.33 aktualisiert, mittels des Updates wird zusätzlich eine Funktionserweiterung bereitgestellt.
Schwachstellen:
CVE-2021-21707
Schwachstelle in PHP ermöglicht u. a. Darstellen falscher InformationenCVE-2021-21708
Schwachstelle in PHP ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2022-31625
Schwachstelle in PHP ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-31626
Schwachstelle in PHP ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-31628
Schwachstelle in PHP ermöglicht Denial-of-Service-AngriffCVE-2022-31629
Schwachstelle in PHP ermöglicht Darstellen falscher InformationenCVE-2022-31630
Schwachstelle in PHP ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-37454
Schwachstelle in PHP ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.