ClickCease Mehrere PHP 7.4-Schwachstellen in Debian 11 behoben

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Mehrere PHP 7.4-Schwachstellen in Debian 11 behoben

Rohan Timalsina

29. April 2024. TuxCare-Expertenteam

Debian 11 wurde erstmals am 14. August 2021 mit der PHP-Version 7.4 veröffentlicht, die bereits das Ende ihrer Lebensdauer erreicht hat. Das bedeutet, dass PHP 7.4 keine offiziellen Aktualisierungen und Sicherheitskorrekturen mehr vom PHP-Entwicklungsteam erhalten wird. Das Debian-Sicherheitsteam bietet jedoch Korrekturen für PHP 7.4 an, da Debian 11 immer noch PHP 7.4 als Standardversion verwendet. Kürzlich wurden mehrere PHP 7.4-Verwundbarkeiten in Debian 11 behoben, die zu einer Umgehung von Secure Cookies, XXE-Angriffen oder einer falschen Validierung von Passwort-Hashes führen könnten.

 

Aktuelle PHP 7.4 Sicherheitslücken behoben

 

CVE-2023-3823 (CVSS v3 Score: 7.5 Hoch)

In PHP hängen verschiedene XML-Funktionen vom globalen libxml-Status ab, um Konfigurationsvariablen zu verwalten, wie z.B. das Laden von externen Entitäten. In der Regel wird davon ausgegangen, dass dieser Zustand unverändert bleibt, es sei denn, er wird vom Benutzer durch entsprechende Funktionsaufrufe geändert. Da dieser Zustand jedoch vom gesamten Prozess gemeinsam genutzt wird, kann es vorkommen, dass andere Module wie ImageMagick, die dieselbe Bibliothek innerhalb desselben Prozesses verwenden, diesen globalen Zustand versehentlich für ihre eigenen internen Bedürfnisse verändern. Infolgedessen kann der globale Zustand in einem Zustand belassen werden, in dem das Laden externer Entitäten aktiviert ist.

Dieses Szenario kann dazu führen, dass externe XML-Dateien mit geladenen externen Entitäten unbeabsichtigt geparst werden, wodurch lokale Dateien, auf die PHP zugreifen kann, möglicherweise offengelegt werden. Diese Sicherheitslücke kann über mehrere Anfragen innerhalb desselben Prozesses bestehen bleiben, bis der Prozess beendet wird.

 

CVE-2023-3824 (CVSS v3 Score: 9.8 Kritisch)

Beim Laden einer Phar-Datei und beim Lesen von PHAR-Verzeichniseinträgen kann eine unzureichende Längenprüfung zu einem Stapelpufferüberlauf führen. Diese Schwachstelle in PHP 7.4 kann möglicherweise zu einer Beschädigung des Arbeitsspeichers oder zur Remotecodeausführung (RCE) führen.

 

CVE-2024-2756 (CVSS v3 Score: 6.5 Medium)

Dieses Problem ergibt sich aus der Behandlung von HTTP-Variablennamen durch PHP. Ein Angreifer kann dies ausnutzen, indem er ein unsicheres Standard-Cookie im Browser des Opfers setzt, das von PHP-Anwendungen fälschlicherweise als __Host- oder __Secure- Cookie. Es ist erwähnenswert, dass diese Schwachstelle aufgrund einer unvollständigen Korrektur für #VU67756 (CVE-2022-31629) fortbesteht.

 

CVE-2024-3096 (CVSS v3 Score: 4.8 Medium)

Die Sicherheitslücke entsteht durch einen Fehler in der Funktion password_verify(), der möglicherweise zu falschen true-Rückgaben führt. Unter Ausnutzung dieses Fehlers könnte ein entfernter Angreifer implementierte Authentifizierungsmechanismen, die sich auf diese anfällige Funktion verlassen, umgehen und so unberechtigten Zugriff auf die Webanwendung erlangen.

 

Maßnahmen zur Schadensbegrenzung

 

Obwohl PHP 7.4 seinen End-of-Life-Status erreicht hat, wird es von Debian weiterhin als Standard-PHP-Version verwendet. Die gute Nachricht ist, dass das Debian-Sicherheitsteam die PHP 7.4-Verwundbarkeiten in Debian 11 durch Version 7.4.33-1+deb11u5 behoben hat. Es wird dringend empfohlen, Ihre PHP 7.4-Pakete auf diese gepatchte Version zu aktualisieren, um die Sicherheit Ihres Systems zu gewährleisten.

 

Absicherung Ihrer auslaufenden Linux-Systeme

 

Diese Schwachstellen betreffen nicht nur die Version PHP 7.4, sondern auch andere PHP-Versionen. Dazu gehören PHP-Versionen, die in End-of-Life-Betriebssystemen wie CentOS (6, 7 und 8), Ubuntu 16.04, Ubuntu 18.04, CloudLinux 6 und Oracle Linux 6 verwendet werden. Um diese Systeme abzusichern, können Sie den Extended Lifecycle Support von TuxCare nutzen, der Sicherheitspatches für weitere Jahre nach dem EOL bereitstellt. Auch diese Probleme wurden bereits im Extended Lifecycle Support behoben. Weitere Informationen über Sicherheitslücken und deren Patch-Status finden Sie unter cve.tuxcare.com.

TuxCare bietet auch Sicherheits-Patches für auslaufende PHP-Versionen, so dass Ihre Anwendungen auch ohne massives Code-Refactoring reibungslos und sicher laufen können. Erfahren Sie mehr über Extended Lifecycle Support für PHP.

 

Quelle: DSA 5660-1

Zusammenfassung
Mehrere PHP 7.4-Schwachstellen in Debian 11 behoben
Artikel Name
Mehrere PHP 7.4-Schwachstellen in Debian 11 behoben
Beschreibung
Informieren Sie sich über kritische Sicherheitslücken in PHP 7.4 und wie man sie patcht. Erforschen Sie Sicherheitsrisiken, Lösungen und die Aktualisierungen von Debian.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter