RedDevil
04.05.2016, 09:27
https://www.szenebox.org/images/_imported/2016/05/16.jpg
Angreifer können verschiedenen PHP-Versionen aus der Ferne Schadcode unterjubeln. Drei abgesicherte Versionen schließen zwei Sicherheitslücken.
Die PHP-Versionen 5.5, 5.6 und 7.0 sind über zwei Sicherheitslücken verwundbar (http://php.net/archive/2016.php#id2016-04-28-1). Angreifer können diese aus der Ferne attackieren, Speicherfehler auslösen und eigenen Code auf Systeme schieben und ausführen.
Die Schwachstellen wurden in den zum Download bereitstehenden Versionen (http://php.net/downloads.php) PHP 5.5.35, 5.6.21 und 7.0.6 geschlossen. Die Windows-Binaries finden sich auf einer anderen Webseite (http://windows.php.net/download/).
Die Lücke mit der Kennung CVE-2016-3078 betrifft alle PHP-Versionen vor 7.0.6. Setzen Angreifer hier an, können sie über ein präpariertes Zip-Archiv einen Speicherfehler provozieren und eigenen Code ausführen.
Die zweite Schwachstelle (CVE-2016-3074) klafft in der Bilder-Bibliothek libgd 2.1.1, die seit PHP 4.3 standardmäßig bei der Default-Installation dabei ist. Um hier einen Speicherfehler auszulösen, müssen Angreifer einem Opfer komprimierte gd2-Daten unterjubeln. Anschließend können sie das System crashen oder Schadcode ausführen.
Quelle: Heise.de (http://www.heise.de/newsticker/meldung/Sicherheitsupdates-PHP-anfaellig-fuer-Remote-Code-Execution-3196826.html)
Angreifer können verschiedenen PHP-Versionen aus der Ferne Schadcode unterjubeln. Drei abgesicherte Versionen schließen zwei Sicherheitslücken.
Die PHP-Versionen 5.5, 5.6 und 7.0 sind über zwei Sicherheitslücken verwundbar (http://php.net/archive/2016.php#id2016-04-28-1). Angreifer können diese aus der Ferne attackieren, Speicherfehler auslösen und eigenen Code auf Systeme schieben und ausführen.
Die Schwachstellen wurden in den zum Download bereitstehenden Versionen (http://php.net/downloads.php) PHP 5.5.35, 5.6.21 und 7.0.6 geschlossen. Die Windows-Binaries finden sich auf einer anderen Webseite (http://windows.php.net/download/).
Die Lücke mit der Kennung CVE-2016-3078 betrifft alle PHP-Versionen vor 7.0.6. Setzen Angreifer hier an, können sie über ein präpariertes Zip-Archiv einen Speicherfehler provozieren und eigenen Code ausführen.
Die zweite Schwachstelle (CVE-2016-3074) klafft in der Bilder-Bibliothek libgd 2.1.1, die seit PHP 4.3 standardmäßig bei der Default-Installation dabei ist. Um hier einen Speicherfehler auszulösen, müssen Angreifer einem Opfer komprimierte gd2-Daten unterjubeln. Anschließend können sie das System crashen oder Schadcode ausführen.
Quelle: Heise.de (http://www.heise.de/newsticker/meldung/Sicherheitsupdates-PHP-anfaellig-fuer-Remote-Code-Execution-3196826.html)