DFN-CERT-2016-1157 PHP, TYPO3, Drupal: Eine Schwachstelle ermöglicht HTTP-Proxy-Umleitungen [Linux][Fedora][Unix][Solaris][Windows]

DFN-CERT portal at dfn-cert.de
Tue Jul 19 16:00:02 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  Drupal Core < 8.1.7
  PHP <= 7.0.8
  TYPO3 >= 8.0.0
  TYPO3 <= 8.2.0
  

Betroffene Plattformen:

  Drupal Core 8.x
  TYPO3
  Red Hat Fedora 23
  Red Hat Fedora 24
  Extra Packages for Red Hat Enterprise Linux 7
  


Ein entfernter, nicht authentisierter Angreifer kann eine durch RFC 3875
Sektion 4.1.18 (The Common Gateway Interface, CGI) bedingte Schwachstelle in
der PHP-Bibliothek Guzzle in PHP bis Version 7.0.8 ausnutzen, um mit einem
präparierten Proxy-Header in einem HTTP-Request den ausgehenden HTTP-Verkehr
einer Anwendung auf einen beliebigen, schädlichen Proxy-Server umzuleiten
("httpoxy"-Problem).

Während für Mitigationen des "httpoxy"-Problems für den Apache Software
Foundation HTTP-Server die CVE-2016-5387 vergeben ist, wurde für PHP eine
eigene CVE zugewiesen.

TYPO3 informiert darüber, dass TYPO3 CMS in den Versionen 8.0.0 - 8.2.0 von
der Schwachstelle betroffen ist und stellt die Version 8.2.1 als
Sicherheitsupdate zur Verfügung, welches zügig installiert werden sollte.

Das Drupal Security Team informiert über die Schwachstelle in Drupal Core im
Versionszweig 8.x und stellt die Version 8.1.7 als Sicherheitsupdate bereit.
Der Versionszweig 8.0.x wird nicht mehr unterstützt.

Für Fedora 23 und 24 sowie Fedora EPEL 7 stehen Sicherheitsupdates in Form
der Pakete php-guzzlehttp-guzzle6-6.2.1-1.fc23,
php-guzzlehttp-guzzle6-6.2.1-1.fc24, php-guzzlehttp-guzzle-5.3.1-1.el7,
php-guzzlehttp-guzzle-5.3.1-1.fc23 und php-guzzlehttp-guzzle-5.3.1-1.fc24 im
Status 'pending' bereit.


Workaround:

  Bis die Sicherheitsupdates eingespielt werden können, können Proxy-Anfragen
  blockiert werden, bevor sie die Anwendung erreichen. Dies kann in der
  Firewall oder im Webserver selbst geschehen. Für gängige Konfigurationen
  finden sich Anleitungen in der Referenz zu 'httpoxy'.


Patch:

  Drupal Security Advisory SA-CORE-2016-003

  <https://www.drupal.org/SA-CORE-2016-003>

Patch:

  Fedora Security Update FEDORA-2016-4e7db3d437 (Fedora 24,
  php-guzzlehttp-guzzle6-6.2.1-1)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-4e7db3d437>

Patch:

  Fedora Security Update FEDORA-2016-9c8cf5912c (Fedora 23,
  php-guzzlehttp-guzzle6-6.2.1-1)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-9c8cf5912c>

Patch:

  Fedora Security Update FEDORA-2016-aef8a45afe (Fedora 24,
  php-guzzlehttp-guzzle-5.3.1-1)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-aef8a45afe>

Patch:

  Fedora Security Update FEDORA-2016-e2c8f5f95a (Fedora 23,
  php-guzzlehttp-guzzle-5.3.1-1)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-e2c8f5f95a>

Patch:

  Fedora Security Update FEDORA-EPEL-2016-3a667cc289 (Fedora EPEL 7,
  php-guzzlehttp-guzzle-5.3.1-1)

  <https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-3a667cc289>

Patch:

  TYPO3 Security Bulletin TYPO3-CORE-SA-2016-019

  <https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-019/>


CVE-2016-5385: Schwachstelle in PHP ermöglicht Umgehen von
  Sicherheitsvorkehrungen

  PHP bis einschließlich Version 7.0.8 versucht nicht, einen durch RFC 3875
  Sektion 4.1.18 bedingten Namensraumkonflikt zu adressieren und schützt
  deshalb Anwendungen nicht vor nicht vertrauenswürdigen Client-Daten in der
  HTTP_PROXY-Umgebungsvariablen. Dadurch ist es mithilfe eines präparierten
  Proxy-Headers in einer HTTP-Anfrage - beispielsweise mittels einer
  Anwendung, die einen getenv('HTTP_PROXY') Aufruf tätigt oder durch eine
  bestimmte CGI-Konfiguration von PHP - möglich, den ausgehenden HTTP-Verkehr
  einer Anwendung auf einen beliebigen Proxy-Server umzuleiten. Das Problem
  ist unter dem Namen 'httpoxy' bekannt.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1157/>

Drupal Security Advisory SA-CORE-2016-003:
  <https://www.drupal.org/SA-CORE-2016-003>

Fedora Security Update FEDORA-2016-4e7db3d437 (Fedora 24,
php-guzzlehttp-guzzle6-6.2.1-1):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-4e7db3d437>

Fedora Security Update FEDORA-2016-9c8cf5912c (Fedora 23,
php-guzzlehttp-guzzle6-6.2.1-1):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-9c8cf5912c>

Fedora Security Update FEDORA-2016-aef8a45afe (Fedora 24,
php-guzzlehttp-guzzle-5.3.1-1):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-aef8a45afe>

Fedora Security Update FEDORA-2016-e2c8f5f95a (Fedora 23,
php-guzzlehttp-guzzle-5.3.1-1):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-e2c8f5f95a>

Fedora Security Update FEDORA-EPEL-2016-3a667cc289 (Fedora EPEL 7,
php-guzzlehttp-guzzle-5.3.1-1):
  <https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-3a667cc289>

TYPO3 Security Bulletin TYPO3-CORE-SA-2016-019:
  <https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-019/>

"httpoxy" - Schwachstellen für CGI-Anwendungen (PHP, Go, Python):
  <https://httpoxy.org/>

Schwachstelle CVE-2016-5385 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5385>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160719/93b93ce9/attachment.bin>


More information about the Security-Announce mailing list