Dies Bundesamt zu Gunsten von Sicherheit in dieser Informationstechnik (BSI) hat am 06.06.2024 vereinen Sicherheitshinweis zu Gunsten von PHP gemeldet. Es sind mehrere Schwachstellen hinsichtlich dieser Benutzung dieser Software entdeckt worden, die von Angreifern ausgenutzt werden können. Betroffen von dieser Sicherheitslücke sind die Betriebssysteme UNIX und Windows sowie dasjenige Produkt Open Source PHP.

Die neuesten Hersteller-Empfehlungen hinsichtlich Updates, Workarounds und Sicherheitspatches zu Gunsten von welche Sicherheitslücke finden Sie hier: PoC CVE-2024-4577 (Stand: 07.06.2024). Weitere nützliche Sinister werden weiter unten in diesem Beschränkung aufgeführt.

Mehrere Schwachstellen zu Gunsten von PHP gemeldet – Risiko: hoch

Risikostufe: 4 (hoch)
CVSS Kusine Score: 9,8
CVSS Zeitlich Score: 8,8
Remoteangriff: Ja

Zur Einschätzung dieser Verwundbarkeit von Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Jener CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken aufwärts Sockel verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Zu Gunsten von die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Jener Kusine Score bewertet die Voraussetzungen zu Gunsten von vereinen Überfall (u.a. Authentifizierung, Schwierigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Jener Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen in Form von dieser Gefahrenlage. Jener Schweregrad dieser hier behandelten Schwachstelle wird nachdem dem CVSS mit einem Kusine Score von 9,8 wie „hoch“ eingeschätzt.

PHP Programmierfehler: Auswirkungen eines IT-Angriffs

PHP ist eine Programmiersprache, die zur Implementierung von Web-Applikationen genutzt wird.

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in PHP ausnutzen, um beliebigen Programmcode auszuführen und um Sicherheitsmechanismen zu umgehen.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2024-4577, CVE-2024-5458 und CVE-2024-5585.

Von dieser PHP-Sicherheitslücke betroffene Systeme im Übersicht

Betriebssysteme
UNIX, Windows

Produkte
Open Source PHP <8.3.8 (cpe:/a:php:php)
Open Source PHP <8.2.20 (cpe:/a:php:php)
Open Source PHP <8.1.29 (cpe:/a:php:php)

Allgemeine Empfehlungen zum Umgang mit IT-Schwachstellen

1. Benützer dieser betroffenen Anwendungen sollten welche aufwärts dem aktuellsten Stand halten. Hersteller sind wohnhaft bei Bekanntwerden von Sicherheitslücken dazu angehalten, welche schnellstmöglich durch Schöpfung eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie welche zeitnah.
2. Rat einholen Sie zu Informationszwecken die im nächsten Stückchen aufgeführten Quellen. Mehrfach enthalten welche weiterführende Informationen zur aktuellsten Version dieser betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich wohnhaft bei weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle Ergehen sich weiterführende Sinister mit Informationen reichlich Programmierfehler-Reports, Security-Fixes und Workarounds.

PoC CVE-2024-4577 vom 2024-06-07 (06.06.2024)
Weitere Informationen finden Sie unter: https://github.com/watchtowrlabs/CVE-2024-4577

DevCore Security Alert: CVE-2024-4577 – PHP CGI Grund Injection Vulnerability vom 2024-06-06 (06.06.2024)
Weitere Informationen finden Sie unter: https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability-en/

PHP Changelog Version 8.3.8 vom 2024-06-06 (06.06.2024)
Weitere Informationen finden Sie unter: https://php.net/ChangeLog-8.php#8.3.8

PHP Changelog Version 8.2.20 vom 2024-06-06 (06.06.2024)
Weitere Informationen finden Sie unter: https://php.net/ChangeLog-8.php#8.2.20

PHP Changelog Version 8.1.29 vom 2024-06-06 (06.06.2024)
Weitere Informationen finden Sie unter: https://www.php.net/ChangeLog-8.php#8.1.29

Versionshistorie dieser Sicherheitswarnung

Dies ist die initiale Steckdose des vorliegenden IT-Sicherheitshinweises zu Gunsten von PHP. Sollten Updates bekanntgegeben werden, wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie unter Zuhilfenahme von dieser folgenden Versionshistorie wiederholen.

06.06.2024 – Initiale Steckdose

+++ Redaktioneller Rauchzeichen: Dieser Text wurde aufwärts Sockel aktueller BSI-Information generiert und wird je nachdem Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachsteigen Sie News.de schon wohnhaft bei Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Litze zur Redaktion.
kns/roj/news.de