Mehrere Sicherheitslücken in PHP können die Ausführung von beliebigem Code ermöglichen

MS-ISAC-BERATUNGSNUMMER:

2019-087

DATUM (E) AUSGESTELLT:

09/03/2019

ÜBERBLICK:

In PHP wurden mehrere Sicherheitslücken entdeckt, von denen die schwerwiegendste die Ausführung von beliebigem Code ermöglichen könnte. PHP ist eine Programmiersprache, die ursprünglich für die Verwendung in webbasierten Anwendungen mit HTML-Inhalten entwickelt wurde. PHP unterstützt eine Vielzahl von Plattformen und wird von zahlreichen webbasierten Softwareanwendungen verwendet. Das erfolgreiche Ausnutzen der schwerwiegendsten dieser Sicherheitsanfälligkeiten kann eine willkürliche Codeausführung im Kontext der betroffenen Anwendung ermöglichen. Abhängig von den mit der Anwendung verbundenen Berechtigungen kann ein Angreifer Programme installieren. Daten anzeigen, ändern oder löschen; oder erstellen Sie neue Konten mit vollen Benutzerrechten. Eine fehlgeschlagene Ausnutzung kann zu einem Denial-of-Service-Zustand führen.

BEDROHUNGSINTELLIGENZ:

Derzeit gibt es keine Berichte darüber, dass diese Sicherheitsanfälligkeiten in freier Wildbahn ausgenutzt werden.

BETROFFENE SYSTEME:

  • PHP 7.1-Versionen vor 7.1.32
  • PHP 7.2-Versionen vor 7.2.22
  • PHP 7.3-Versionen vor 7.3.9

RISIKO:

Regierung:
  • Große und mittlere Regierungsstellen: HOCH
  • Kleine Regierungsstellen: HOCH
Unternehmen:
  • Große und mittlere Unternehmen: HOCH
  • Kleinunternehmen: HOCH
Heimanwender:
NIEDRIG

TECHNISCHE ZUSAMMENFASSUNG:

In PHP wurden mehrere Sicherheitslücken entdeckt, von denen die schwerwiegendste die Ausführung von beliebigem Code ermöglichen könnte. Details zu diesen Sicherheitsanfälligkeiten sind nachfolgend aufgeführt:

Version 7.3.9

  • Fehler # 78363 (Pufferüberlauf in zendparse)
  • Fehler # 78379 (In Objekt umgewandelt verwirrt GC, verursacht Absturz)
  • Fehler # 78412 (Generator meldet fälschlicherweise nicht freisetzbare $ this als GC-Kind)
  • Fehler # 77946 (Ungültige cURL-Ressourcen, die von curl_multi_info_read () zurückgegeben wurden
  • Fehler # 78333 (Exif-Absturz (Busfehler)
  • Fehler # 77185 (Use-after-free bei der Behandlung von FPM-Master-Ereignissen)
  • Fehler # 78342 (Busfehler beim Konfigurationstest für iconv // IGNORE)
  • Fehler # 78380 (Oniguruma 6.9.3 behebt CVEs)
  • Fehler # 78179 (MariaDB-Serverversion falsch erkannt)
  • Bug # 78213 (Leere Zeilentasche)
  • Fehler # 77191 (Assertionsfehler in dce_live_ranges ()
  • Fehler # 69100 (Busfehler von stream_copy_to_stream (Datei -> SSL-Stream)
  • Fehler # 78282 (Nichtübereinstimmung von Zeit und Zeit)
  • Fehler # 78326 (falsche Speicherfreigabe für stream_get_contents ()
  • Fehler # 78346 (strip_tags verarbeiten verschachtelte PHP-Tags nicht mehr)

Version 7.2.22

  • Fehler # 78363 (Pufferüberlauf in zendparse)
  • Fehler # 78379 (In Objekt umgewandelt verwirrt GC, verursacht Absturz)
  • Fehler # 77946 (Ungültige cURL-Ressourcen, die von curl_multi_info_read () zurückgegeben wurden
  • Fehler # 78333 (Exif-Absturz (Busfehler)
  • Fehler # 78342 (Busfehler beim Konfigurationstest für iconv // IGNORE)
  • Fehler # 78179 (MariaDB-Serverversion falsch erkannt)
  • Fehler # 77191 (Assertionsfehler in dce_live_ranges ()
  • Fehler # 69100 (Busfehler von stream_copy_to_stream (Datei -> SSL-Stream)
  • Fehler # 78282 (Nichtübereinstimmung von Zeit und Zeit)
  • Fehler # 78326 (falsche Speicherfreigabe für stream_get_contents ()

Version 7.1.32

  • Fehler # 75457 (Heap-Use-After-Free in pcrelib)

Das erfolgreiche Ausnutzen der schwerwiegendsten dieser Sicherheitsanfälligkeiten kann eine willkürliche Codeausführung im Kontext der betroffenen Anwendung ermöglichen. Abhängig von den mit der Anwendung verbundenen Berechtigungen kann ein Angreifer Programme installieren. Daten anzeigen, ändern oder löschen; oder erstellen Sie neue Konten mit vollen Benutzerrechten. Eine fehlgeschlagene Ausnutzung kann zu einem Denial-of-Service-Zustand führen.

EMPFEHLUNGEN:

Wir empfehlen folgende Maßnahmen:

  • Aktualisieren Sie nach entsprechenden Tests sofort auf die neueste Version von PHP.
  • Stellen Sie sicher, dass keine nicht autorisierten Systemänderungen am System vorgenommen wurden, bevor Sie den Patch anwenden.
  • Wenden Sie das Prinzip der geringsten Berechtigung auf alle Systeme und Dienste an.
  • Erinnern Sie Benutzer daran, keine Websites zu besuchen oder Links zu folgen, die von unbekannten oder nicht vertrauenswürdigen Quellen bereitgestellt werden.

VERWEISE:

Error: No site found with the domain 'test.basti1012.bplaced.net' (Learn more)