SUSE verhelpt kwetsbaarheden in PHP5

SUSE heeft 9 kwetsbaarheden verholpen in PHP5, waaronder de hash collision kwetsbaarheid (CVE-2011-4885, CVE-2012-0830).

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.02 #############################

Titel           : SUSE verhelpt kwetsbaarheden in PHP5
Advisory ID     : NCSC-2012-0174
Versie          : 1.02
Kans            : medium
CVE ID          : CVE-2011-4153, CVE-2011-4885, CVE-2012-0057,
                  CVE-2012-0781, CVE-2012-0788, CVE-2012-0789,
                  CVE-2012-0807, CVE-2012-0830, CVE-2012-0831
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial of Service (DoS)
                  Remote code execution (Administrator/Root rechten)
                  SQL Injection
Uitgiftedatum   : 20120406
Toepassing      : PHP
Versie(s)       : 5
Platform(s)     : SUSE Linux Enterprise Server 10
                  OpenSUSE

Update
   SUSE heeft updates uitgebracht voor SUSE 11. Zie de paragraaf
   "Mogelijke oplossingen" voor meer informatie.

Samenvatting
   SUSE heeft 9 kwetsbaarheden verholpen in PHP5, waaronder de hash
   collision kwetsbaarheid (CVE-2011-4885, CVE-2012-0830).

Gevolgen
   Een kwaadwillende kan de kwetsbaarheden mogelijk misbruiken om op
   afstand willekeurige code uit te voeren. Daarnaast kan een
   kwaadwillende een Denial-of-Service veroorzaken en SQL Injection
   aanvallen uitvoeren.

Beschrijving
   De volgende kwetsbaarheden zijn verholpen:
   
   -----------------------------------------------------------------
   | CVE-id        | Type                      | Bijzonderheden    |
   -----------------------------------------------------------------
   | CVE-2011-4153 | Denial-of-Service         |                   |
   | CVE-2011-4885 | Denial-of-Service         | Hash collision    |
   | CVE-2012-0057 | Bestanden aanmaken        |                   |
   | CVE-2012-0781 | Denial-of-Service         |                   |
   | CVE-2012-0788 | Denial-of-Service         |                   |
   | CVE-2012-0789 | Denial-of-Service         |                   |
   | CVE-2012-0807 | Code uitvoeren op afstand |                   |
   | CVE-2012-0830 | Code uitvoeren op afstand | Hash coll. bugfix |
   | CVE-2012-0831 | SQL Injection             |                   |
   -----------------------------------------------------------------

Mogelijke oplossingen
   -= SUSE =-
   SUSE heeft updates beschikbaar gemaakt om de kwetsbaarheid te
   verhelpen in SUSE 10 en SUSE 11. U kunt deze aangepaste packages
   installeren door gebruik te maken van 'YaST'. U kunt het package
   ook handmatig downloaden van de SUSE FTP-server (ftp.suse.com).
   Voor meer informatie, zie:
   
   SUSE 10:
   http://web.archiveorange.com/archive/v/XxYzC4j74FTYvyn65d0S
   
   SUSE 11:
   http://web.archiveorange.com/archive/v/XxYzCfY1zoCOPNTDMkZZ
   
   -= OpenSUSE =-
   OpenSUSE heeft updates beschikbaar gesteld voor openSUSE 12.1.
   OpenSUSE ook 2 nieuwe kwetsbaarheden (CVE-2011-1466
   CVE-2011-4566).Zie voor meer informatie:
   
   http://lists.opensuse.org/opensuse-updates/2012-03/msg00047.html

Hyperlinks
   http://web.archiveorange.com/archive/v/XxYzC4j74FTYvyn65d0S

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: PGP Desktop 10.1.1 (Build 10)
Charset: utf-8

wlcDBQFPfrPpQ+C/3OQykckRCGlEAP9TLMCJ88/elUXJgTjpjPFeLVW+0VQ+ExP8
gEDnJ/eQgwD/S97XRthxDw9VvlrdVDXR1BAwRvxqkbnUHM3hq2U86Bg=
=RTjJ
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig