UPDATE: DFN-CERT-2015-1382 PHP Doctrine: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes [Linux][Fedora]

DFN-CERT portal at dfn-cert.de
Tue Jul 12 11:05:01 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 3 (12.07.2016):
    Für Fedora 22, 23 und 24 sowie für Fedora EPEL 7 stehen Sicherheitsupdates
    in Form aktualisierter 'php-doctrine-orm'-Pakete in der Version 2.4.8 im
    Status 'testing' bereit.
  Version 2 (09.09.2015):
    Für die Distributionen Fedora 21, 22 und 23 sowie Fedora EPEL 6 und 7
    stehen Sicherheitsupdates in Form der Pakete
    php-doctrine-annotations-1.2.7-1 und php-doctrine-doctrine-bundle-1.5.2-1
    (nicht für EPEL 6) im Status 'testing' bereit.
  Version 1 (08.09.2015):
    Neues Advisory

Betroffene Software:

  PHP Doctrine Annotations <= 1.2.6
  PHP Doctrine Bundle <= 1.5.1
  PHP Doctrine Cache <= 1.3.1
  PHP Doctrine Cache <= 1.4.1
  

Betroffene Plattformen:

  Red Hat Fedora 21
  Red Hat Fedora 22
  Red Hat Fedora 23
  Red Hat Fedora 24
  Extra Packages for Red Hat Enterprise Linux 6
  Extra Packages for Red Hat Enterprise Linux 7
  


Eine Schwachstelle in verschiedenen PHP Doctrine-Projekten ermöglicht einem
lokalen, einfach authentifizierten Angreifer beliebigen Programmcode mit den
Rechten des Dienstes auszuführen.

Für Fedora 21, 22 und 23 werden Sicherheitsupdates in Form der Pakete
php-doctrine-cache-1.4.2-1.fc21, php-doctrine-cache-1.4.2-1.fc22 und
php-doctrine-cache-1.4.2-1.fc23 im Status 'testing' zur Verfügung gestellt.
Für Fedora EPEL 6 und 7 stehen Sicherheitsupdates in Form der Pakete
php-doctrine-cache-1.4.2-1.el6 und php-doctrine-cache-1.4.2-1.el7 im Status
'testing' zur Verfügung.


Patch:

  Fedora Security Update FEDORA-2015-15198

  <https://bodhi.fedoraproject.org/updates/FEDORA-2015-15198>

Patch:

  Fedora Security Update FEDORA-2015-15199

  <https://bodhi.fedoraproject.org/updates/FEDORA-2015-15199>

Patch:

  Fedora Security Update FEDORA-2015-15200

  <https://bodhi.fedoraproject.org/updates/FEDORA-2015-15200>

Patch:

  Fedora Security Update FEDORA-EPEL-2015-7960

  <https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-7960>

Patch:

  Fedora Security Update FEDORA-EPEL-2015-7961

  <https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-7961>

Patch:

  Fedora Security Update FEDORA-2015-15201

  <https://bodhi.fedoraproject.org/updates/FEDORA-2015-15201>

Patch:

  Fedora Security Update FEDORA-2015-15202

  <https://bodhi.fedoraproject.org/updates/FEDORA-2015-15202>

Patch:

  Fedora Security Update FEDORA-2015-15203

  <https://bodhi.fedoraproject.org/updates/FEDORA-2015-15203>

Patch:

  Fedora Security Update FEDORA-2015-15204

  <https://bodhi.fedoraproject.org/updates/FEDORA-2015-15204>

Patch:

  Fedora Security Update FEDORA-2015-15205

  <https://bodhi.fedoraproject.org/updates/FEDORA-2015-15205>

Patch:

  Fedora Security Update FEDORA-2015-15206

  <https://bodhi.fedoraproject.org/updates/FEDORA-2015-15206>

Patch:

  Fedora Security Update FEDORA-EPEL-2015-7962

  <https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-7962>

Patch:

  Fedora Security Update FEDORA-EPEL-2015-7963

  <https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-7963>

Patch:

  Fedora Security Update FEDORA-EPEL-2015-7964

  <https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-7964>

Patch:

  Fedora Security Update FEDORA-2016-7e229134f9 (Fedora 23,
  php-doctrine-orm-2.4.8-1)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-7e229134f9>

Patch:

  Fedora Security Update FEDORA-2016-9776e6629a (Fedora 22,
  php-doctrine-orm-2.4.8-1)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-9776e6629a>

Patch:

  Fedora Security Update FEDORA-2016-f0c8b7b115 (Fedora
  24,php-doctrine-orm-2.4.8-1)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-f0c8b7b115>

Patch:

  Fedora Security Update FEDORA-EPEL-2016-d85f5db77a (Fedora EPEL
  7,php-doctrine-orm-2.4.8-1)

  <https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-d85f5db77a>


CVE-2015-5723: Schwachstelle in verschiedenen PHP Doctrine Projekten
  ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

  Eine Schwachstelle in den PHP Doctrine-Projekten Annotations vor Version
  1.2.7, Cache vor Version 1.4.2 oder 1.3.2, Common vor Version 2.5.1 oder
  2.4.3, ORM vor Version 2.5.1 oder 2.4.8, MongoDB ODM vor Version 1.0.2 und
  MongoDB ODM Bundle vor Version 3.0.1 ermöglicht es, wenn die Anwendung mit
  "umask(0)" gestartet wurde, beliebigen Programmcode in Cache-Verzeichnisse
  zu schreiben. Dieser wird dann mit den Benutzerrechten des Webservers zur
  Ausführung gebracht. 


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2015-1382/>

Fedora Security Update FEDORA-2015-15198:
  <https://bodhi.fedoraproject.org/updates/FEDORA-2015-15198>

Fedora Security Update FEDORA-2015-15199:
  <https://bodhi.fedoraproject.org/updates/FEDORA-2015-15199>

Fedora Security Update FEDORA-2015-15200:
  <https://bodhi.fedoraproject.org/updates/FEDORA-2015-15200>

Fedora Security Update FEDORA-EPEL-2015-7960:
  <https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-7960>

Fedora Security Update FEDORA-EPEL-2015-7961:
  <https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-7961>

Schwachstelle CVE-2015-5723 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5723>

Security Misconfiguration Vulnerability in various Doctrine projects:
  <http://www.doctrine-project.org/2015/08/31/security_misconfiguration_vulnerability_in_various_doctrine_projects.html>

Fedora Security Update FEDORA-2015-15201:
  <https://bodhi.fedoraproject.org/updates/FEDORA-2015-15201>

Fedora Security Update FEDORA-2015-15202:
  <https://bodhi.fedoraproject.org/updates/FEDORA-2015-15202>

Fedora Security Update FEDORA-2015-15203:
  <https://bodhi.fedoraproject.org/updates/FEDORA-2015-15203>

Fedora Security Update FEDORA-2015-15204:
  <https://bodhi.fedoraproject.org/updates/FEDORA-2015-15204>

Fedora Security Update FEDORA-2015-15205:
  <https://bodhi.fedoraproject.org/updates/FEDORA-2015-15205>

Fedora Security Update FEDORA-2015-15206:
  <https://bodhi.fedoraproject.org/updates/FEDORA-2015-15206>

Fedora Security Update FEDORA-EPEL-2015-7962:
  <https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-7962>

Fedora Security Update FEDORA-EPEL-2015-7963:
  <https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-7963>

Fedora Security Update FEDORA-EPEL-2015-7964:
  <https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-7964>

Fedora Security Update FEDORA-2016-7e229134f9 (Fedora 23,
php-doctrine-orm-2.4.8-1):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-7e229134f9>

Fedora Security Update FEDORA-2016-9776e6629a (Fedora 22,
php-doctrine-orm-2.4.8-1):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-9776e6629a>

Fedora Security Update FEDORA-2016-f0c8b7b115 (Fedora
24,php-doctrine-orm-2.4.8-1):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-f0c8b7b115>

Fedora Security Update FEDORA-EPEL-2016-d85f5db77a (Fedora EPEL
7,php-doctrine-orm-2.4.8-1):
  <https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-d85f5db77a>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160712/6b9029a5/attachment.bin>


More information about the Security-Announce mailing list