Mehrere PHP 7.4-Schwachstellen in Debian 11 behoben
Debian 11 wurde erstmals am 14. August 2021 mit der PHP-Version 7.4 veröffentlicht, die bereits das Ende ihrer Lebensdauer erreicht hat. Das bedeutet, dass PHP 7.4 keine offiziellen Aktualisierungen und Sicherheitskorrekturen mehr vom PHP-Entwicklungsteam erhalten wird. Das Debian-Sicherheitsteam bietet jedoch Korrekturen für PHP 7.4 an, da Debian 11 immer noch PHP 7.4 als Standardversion verwendet. Kürzlich wurden mehrere PHP 7.4-Verwundbarkeiten in Debian 11 behoben, die zu einer Umgehung von Secure Cookies, XXE-Angriffen oder einer falschen Validierung von Passwort-Hashes führen könnten.
Aktuelle PHP 7.4 Sicherheitslücken behoben
CVE-2023-3823 (CVSS v3 Score: 7.5 Hoch)
In PHP hängen verschiedene XML-Funktionen vom globalen libxml-Status ab, um Konfigurationsvariablen zu verwalten, wie z.B. das Laden von externen Entitäten. In der Regel wird davon ausgegangen, dass dieser Zustand unverändert bleibt, es sei denn, er wird vom Benutzer durch entsprechende Funktionsaufrufe geändert. Da dieser Zustand jedoch vom gesamten Prozess gemeinsam genutzt wird, kann es vorkommen, dass andere Module wie ImageMagick, die dieselbe Bibliothek innerhalb desselben Prozesses verwenden, diesen globalen Zustand versehentlich für ihre eigenen internen Bedürfnisse verändern. Infolgedessen kann der globale Zustand in einem Zustand belassen werden, in dem das Laden externer Entitäten aktiviert ist.
Dieses Szenario kann dazu führen, dass externe XML-Dateien mit geladenen externen Entitäten unbeabsichtigt geparst werden, wodurch lokale Dateien, auf die PHP zugreifen kann, möglicherweise offengelegt werden. Diese Sicherheitslücke kann über mehrere Anfragen innerhalb desselben Prozesses bestehen bleiben, bis der Prozess beendet wird.
CVE-2023-3824 (CVSS v3 Score: 9.8 Kritisch)
Beim Laden einer Phar-Datei und beim Lesen von PHAR-Verzeichniseinträgen kann eine unzureichende Längenprüfung zu einem Stapelpufferüberlauf führen. Diese Schwachstelle in PHP 7.4 kann möglicherweise zu einer Beschädigung des Arbeitsspeichers oder zur Remotecodeausführung (RCE) führen.
CVE-2024-2756 (CVSS v3 Score: 6.5 Medium)
Dieses Problem ergibt sich aus der Behandlung von HTTP-Variablennamen durch PHP. Ein Angreifer kann dies ausnutzen, indem er ein unsicheres Standard-Cookie im Browser des Opfers setzt, das von PHP-Anwendungen fälschlicherweise als __Host-
oder __Secure-
Cookie. Es ist erwähnenswert, dass diese Schwachstelle aufgrund einer unvollständigen Korrektur für #VU67756 (CVE-2022-31629) fortbesteht.
CVE-2024-3096 (CVSS v3 Score: 4.8 Medium)
Die Sicherheitslücke entsteht durch einen Fehler in der Funktion password_verify(), der möglicherweise zu falschen true-Rückgaben führt. Unter Ausnutzung dieses Fehlers könnte ein entfernter Angreifer implementierte Authentifizierungsmechanismen, die sich auf diese anfällige Funktion verlassen, umgehen und so unberechtigten Zugriff auf die Webanwendung erlangen.
Maßnahmen zur Schadensbegrenzung
Obwohl PHP 7.4 seinen End-of-Life-Status erreicht hat, wird es von Debian weiterhin als Standard-PHP-Version verwendet. Die gute Nachricht ist, dass das Debian-Sicherheitsteam die PHP 7.4-Verwundbarkeiten in Debian 11 durch Version 7.4.33-1+deb11u5 behoben hat. Es wird dringend empfohlen, Ihre PHP 7.4-Pakete auf diese gepatchte Version zu aktualisieren, um die Sicherheit Ihres Systems zu gewährleisten.
Absicherung Ihrer auslaufenden Linux-Systeme
Diese Schwachstellen betreffen nicht nur die Version PHP 7.4, sondern auch andere PHP-Versionen. Dazu gehören PHP-Versionen, die in End-of-Life-Betriebssystemen wie CentOS (6, 7 und 8), Ubuntu 16.04, Ubuntu 18.04, CloudLinux 6 und Oracle Linux 6 verwendet werden. Um diese Systeme abzusichern, können Sie den Extended Lifecycle Support von TuxCare nutzen, der Sicherheitspatches für weitere Jahre nach dem EOL bereitstellt. Auch diese Probleme wurden bereits im Extended Lifecycle Support behoben. Weitere Informationen über Sicherheitslücken und deren Patch-Status finden Sie unter cve.tuxcare.com.
TuxCare bietet auch Sicherheits-Patches für auslaufende PHP-Versionen, so dass Ihre Anwendungen auch ohne massives Code-Refactoring reibungslos und sicher laufen können. Erfahren Sie mehr über Extended Lifecycle Support für PHP.
Quelle: DSA 5660-1