🕵️ PHP bis 5.6.11 SQL_WVARCHAR Column Handler ext/odbc/php_odbc.c odbc_fetch_array erweiterte Rechte
Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: vuldb.com
Es wurde eine kritische Schwachstelle in PHP bis 5.6.11 entdeckt. Es betrifft die Funktion odbc_fetch_array
der Datei ext/odbc/php_odbc.c der Komponente SQL_WVARCHAR Column Handler. Durch Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 22.05.2016 publik gemacht. Die Verwundbarkeit wird unter CVE-2015-8879 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.
Ein Upgrade auf die Version 5.6.12 vermag dieses Problem zu beheben.
Die Einträge 87566, 87567, 87568 und 87569 sind sehr ähnlich.
CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:php:php:5.6.0
- cpe:/a:php:php:5.6.1
- cpe:/a:php:php:5.6.2
- cpe:/a:php:php:5.6.3
- cpe:/a:php:php:5.6.4
- cpe:/a:php:php:5.6.5
- cpe:/a:php:php:5.6.6
- cpe:/a:php:php:5.6.7
- cpe:/a:php:php:5.6.8
- cpe:/a:php:php:5.6.9
- cpe:/a:php:php:5.6.10
- cpe:/a:php:php:5.6.11
Exploiting
Klasse: Erweiterte RechteLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $25k-$50k (0-day) / $10k-$25k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: PHP 5.6.12
Timeline
22.05.2016 Advisory veröffentlicht23.05.2016 VulDB Eintrag erstellt
23.05.2016 VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-8879 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 87566, 87567, 87568, 87569 , 87571
Eintrag
Erstellt: 23.05.2016Eintrag: 72.2% komplett
...