SK-CERT Bezpečnostné varovanie V20190625-02

25. júna 2019

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP WHITE
CVSS Skóre	9.1

Identifikátor

PHP viacero zraniteľností

Popis

Vývojári skriptovacieho jazyka PHP vydali bezpečnostnú aktualizáciu, ktorá opravuje viacero bezpečnostných zraniteľností.
Kritické bezpečnostné zraniteľnosti spočívajú v nedostatočnom overovaní používateľských vstupov a umožňujú vzdialenému, neautentifikovanému útočníkovi získať prístup k citlivým údajom alebo spôsobiť zneprístupnenie služby.

Dátum prvého zverejnenia varovania

21.06.2019

CVE

CVE-2019-11038, CVE-2019-11039, CVE-2019-11040

CVE

–

Zasiahnuté systémy

PHP verzie staršie ako 7.3.6
PHP verzie staršie ako 7.2.19
PHP verzie staršie ako 7.1.30

Následky

Neoprávnený prístup k citlivým údajom
Zneprístupnenie služby

Odporúčania

Administrátorom odporúčame vykonať aktualizáciu zasiahnutých systémov.
Po odstránení zraniteľností, ktoré môžu spôsobiť únik informácií, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Administrátorom odporúčame aplikovať firewallové pravidlá a limitovať prístup k zasiahnutým zariadeniam a jeho funkciám zavedením zoznamu pre riadenie prístupov (ACL).

Zdroje

https://tools.cisco.com/security/center/viewAlert.x?alertId=60363
https://tools.cisco.com/security/center/viewAlert.x?alertId=60362
https://tools.cisco.com/security/center/viewAlert.x?alertId=60364
https://bugs.php.net/bug.php?id=78069
https://bugs.php.net/bug.php?id=77973
https://bugs.php.net/bug.php?id=77988

« Späť na zoznam

SK-CERT Bezpečnostné varovanie V20190625-02

SK-CERT Bezpečnostné varovanie V20240419-04

SK-CERT Bezpečnostné varovanie V20240419-03

SK-CERT Bezpečnostné varovanie V20240419-02