In einem Bericht von Anfang Dezember 2024 warnt das DFN-Cert vor kritischen Schwachstellen un den jüngsten Versionen von PHP, die es Angreifern ermöglichen, unter anderem beliebigen Programmcode auszuführen, Informationen auszuspähen sowie Denial-of-Service-Angriffe (DoS) und HTTP-Request-Smuggling-Angriffe durchzuführen. Betroffen sind PHP-Versionen vor 8.3.14, 8.2.26 und 8.1.31.
Einige dieser Schwachstellen erfordern keine besonderen Berechtigungen und können aus der Ferne ausgenutzt werden. Damit stellen sie ein erhebliches Risiko für Systeme dar, die diese Versionen einsetzen.
Die Schwachstellen im Detail
1. CVE-2024-11233: Informationsausspähung und DoS
- Beschreibung: Eine Single Byte Buffer Over-Read-Schwachstelle im
convert.quoted-printable-decode-Filter führt zu Lesezugriffen außerhalb der gültigen Speichergrenzen. - Konsequenz: Ermöglicht das Ausspähen von Informationen oder das Durchführen von DoS-Angriffen.
2. CVE-2024-11234: HTTP-Request-Smuggling
- Beschreibung: Eine CRLF-Injektion in der Konfiguration eines Proxies im Stream-Kontext erlaubt Angreifern das Durchführen von HTTP-Request-Smuggling-Angriffen.
- Konsequenz: Manipulierte HTTP-Anfragen können zur Umgehung von Sicherheitsmechanismen genutzt werden.
3. CVE-2024-11236: Ausführen beliebigen Programmcodes
- Beschreibung: Ein Integer Overflow in den DBLIB- und Firebird-Quotern ermöglicht Schreibzugriffe außerhalb gültiger Speichergrenzen (Out-of-Bounds Write).
- Konsequenz: Angreifer können beliebigen Programmcode ausführen.
4. CVE-2024-8929: Informationsausspähung
- Beschreibung: Ein Heap Buffer Over-Read führt zu Lesezugriffen auf den Heap-Speicher, wodurch Teile davon preisgegeben werden.
- Konsequenz: Ein Angreifer kann sensible Informationen auslesen.
5. CVE-2024-8932: Beliebiger Programmcode durch Speicherfehler
- Beschreibung: Ein Out-of-Bounds Write in der Funktion
ldap_escape()auf 32-Bit-Systemen ermöglicht Angreifern die Manipulation von Speicherinhalten. - Konsequenz: Beliebiger Programmcode kann aus der Ferne ausgeführt werden.
6. PHP-8-3-14-A: Denial-of-Service und Code-Ausführung
- Beschreibung: Eine Use-after-Free-Schwachstelle in der Server-Programmierschnittstelle (CLI SAPI) kann zu Denial-of-Service oder zur Ausführung von Code führen.
- Konsequenz: Angreifer können den Server zum Absturz bringen oder möglicherweise Code ausführen.
Die Schwachstellen betreffen PHP in den Versionen vor 8.3.14, 8.2.26 und 8.1.31 auf diversen Plattformen und wurden durch die folgenden Sicherheitsupdates adressiert:
- PHP 8.3.14, 8.2.26 und 8.1.31: Die Patches stehen über die offiziellen Repositories zur Verfügung.
- Fedora:
- Fedora 41: FEDORA-2024-3891a08c9e
- Fedora 40: FEDORA-2024-e0d390d35b
- Debian:
- Bookworm:
php8.2(8.2.26-1~deb12u1) - Bullseye:
php7.4(7.4.33-1+deb11u7)
- Bookworm:
- SUSE:
- Ubuntu:
- USN-7157-1: Ubuntu Security Notice
Wichtiger Hinweis für Ubuntu
Canonical hat Patches für PHP 8.3, PHP 8.1 und PHP 7.4 bereitgestellt. Allerdings hat der Fix für CVE-2024-8932 eine Regression in PHP 7.4 verursacht. Dieses Problem wird in einem nachfolgenden Update behoben.
Bewertung der Risiken (CVSS)
- CVSS-Basiswert: 9.8 (kritisch)
- Exploitability: 3.9
- Impact: 5.9
- Temporärer Score: 8.8
- Vektor:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C
Die hohe CVSS-Bewertung zeigt das immense Risiko dieser Schwachstellen an, insbesondere aufgrund der leichten Ausnutzbarkeit aus der Ferne und der Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: