Die neuesten Versionen von PHP wurden vor kurzem veröffentlicht (PHP-Version 7.3.9, 7.2.22 und 7.1.32 über mehrere Zweige) mehrere hoch kritische Schwachstellen in seinem Kern und gebündelt Bibliotheken zu adressieren. Der gefährlichste dieser Schwachstellen sind diejenigen, die zu Remotecodeausführung führen könnte.
Fast 80% alle Websites laufen auf PHP. Insbesondere, "PHP wird von 78.9% aller Websites, deren serverseitige Programmiersprache wir wissen,", nach W3Techs Statistiken. Dies bedeutet, dass die Schwachstellen eine große Anzahl von Web-Anwendungen auswirken könnten, die PHP verwenden, einschließlich Websites, die auf Content-Management-Systeme wie Wordpress und Drupal laufen, Forscher warnen.
Genauer, je nach der betroffenen Code-Basis in einer PHP-Anwendung, die Worst-Case-Szenario Angriffe auf diesen Mangel beruhen könnten Bedrohung Akteure beliebigen Code im Kontext der Anwendung ermöglichen, auszuführen. Im Falle eines gescheiterten Versuch der Ausbeutung, eine Denial-of-Service (DoS) Bedingung könnte auf betroffenen Systemen ausgelöst werden.
Mehr über CVE-2.019-13.224
Das Schlimmste des Fehlers wird unter dem bekannten CVE-2.019-13.224 Beratungs. Nach der offiziellen CVE-2.019-13.224 Beschreibung, die Verwundbarkeit ist „ein Einsatz-after-free in onig_new_deluxe() in regext.c in Oniguruma 6.9.2“Das könnte Angreifer ermöglichen, die Offenlegung von Informationen führen, Denial of Service, oder möglicherweise die Ausführung von Code durch einen regulären Ausdruck gestaltete Bereitstellung.
Der Angreifer stellt ein Paar von einem RegexMuster und einem String, mit einer Multi-Byte-Codierung, die von onig_new_deluxe behandelt wird(). Oniguruma Probleme betreffen oft Rubin, sowie gemeinsame optionale Bibliotheken für PHP und Rust, das Beratungs liest.
Die bereits verfügbaren Patches Adresse Schwachstellen in cURL, Exif-Funktion, FastCGI Process Manager, OPcache. Es gibt derzeit keine Informationen von aktiven Angriffen gegen diese Mängel. Jedoch, sofort Patchen erforderlich, so auf die neueste PHP-Version Version zu aktualisieren 7.3.9, 7.2.22, oder 7.1.32 so bald wie möglich. Es sollte beachtet werden, dass die PHP-Version 7.1.32 behebt den Fehler CVE-2019-13224.