📚 PHP 7.0.0 ext/standard/string.c Pufferüberlauf
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
In PHP 7.0.0 wurde eine kritische Schwachstelle ausgemacht. Es geht um eine unbekannte Funktion der Datei ext/standard/string.c. Durch die Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle (Integer) ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 28.04.2016 in Form eines bestätigten Mailinglist Posts (oss-sec) öffentlich gemacht. Bereitgestellt wird das Advisory unter seclists.org. Die Verwundbarkeit wird seit dem 28.04.2016 als CVE-2016-4346 geführt. Das Ausnutzen gilt als leicht. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.
Ein Aktualisieren auf die Version 7.0.3 vermag dieses Problem zu lösen.
Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (112806) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 83181, 83182, 83183 und 83184.
CVSS
Base Score: 7.5 (CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.5 (CVSS2#E:U/RL:OF/RC:C) [?]
CPE
Exploiting
Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Status: Unbewiesen
Aktuelle Preisschätzung: $25k-$50k (0-day) / $10k-$25k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: PHP 7.0.3
Timeline
28.04.2016Advisory veröffentlicht
28.04.2016CVE zugewiesen
03.05.2016VulDB Eintrag erstellt
03.05.2016VulDB Eintrag aktualisiert
Quellen
Advisory: seclists.org
Status: Bestätigt
CVE: CVE-2016-4346 (mitre.org) (nvd.nist.org) (cvedetails.com)
X-Force: 112806 - PHP ext/standard/string.c buffer overflow
Siehe auch: 83181, 83182, 83183 , 83184
Eintrag
Erstellt: 03.05.2016
Eintrag: 75.8% komplett
...