Kurzinfo CB-K16/0389

3 Risiko: mittel
Information zu Schwachstellen und Sicherheitslücken
Titel: PHP PECL HTTP: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Datum: 10.03.2016
Software: PHP PECL HTTP <= 2.5.5, PHP
Plattform: Red Hat Fedora 22, Red Hat Fedora 23, Red Hat Fedora 24, Extra Packages for Red Hat Enterprise Linux 7
Auswirkung: Ausführen beliebigen Programmcodes
Remoteangriff: Ja
Risiko: mittel
Bezug: Fedora Security Update FEDORA-2016-bb7bdd7063 (Fedora 22)
Beschreibung

Pecl_http ist eine HTTP Erweiterung für PHP.

PHP ist eine Skriptsprache, welche serverseitig interpretiert wird. Die freie Software bietet eine breite Datenbankunterstützung und Internet-Protokolleinbindung an und verfügt über zahlreiche Funktionsbibliotheken.

Eine Schwachstelle in PHP ermöglicht einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes. Eine weitere Schwachstelle in PHP PECL ermöglicht einem lokalen, nicht authentifizierten Angreifer die Durchführung eines Denial-of-Service (DoS)-Angriffs. PHP PECL HTTP steht in den Programmversionen 2.5.6 und 3.0.1 zur Verfügung, welche diese Schwachstellen beheben. Für die Distributionen Fedora 22 und 23 sowie Fedora EPEL 7 stehen die entsprechenden Pakete in der Version 2.5.6 als Sicherheitsupdates im Status 'pending', bzw. für Fedora 24 im Status 'testing' bereit.

  1. Changelog for pecl_http 2.5.6

  2. Fedora Security Update FEDORA-2016-474c1d8264 (Fedora 23)

  3. Fedora Security Update FEDORA-2016-9d6b6d0689 (Fedora 24)

  4. Fedora Security Update FEDORA-2016-bb7bdd7063 (Fedora 22)

  5. Fedora Security Update FEDORA-EPEL-2016-bfdc2d9e96 (Fedora EPEL 7)

  6. php_pecl GitHub Issue #28

  7. PHP Bug ID 71719

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.