USN-7648-1: PHP-Sicherheitslücken

USN-7648-1: PHP-Sicherheitslücken
Veröffentlichungsdatum: 17. Juli 2025
Übersicht: Es wurden mehrere Sicherheitslücken in PHP behoben.

Pakete

• php8.1 - Interpreter für in HTML eingebettete Skriptsprachen
• php8.3 - Interpreter für in HTML eingebettete Skriptsprachen
• php8.4 - Interpreter für in HTML eingebettete Skriptsprachen

Details
Es wurde entdeckt, dass PHP bestimmte Hostnamen, die
Null-Zeichen enthält. Ein entfernter Angreifer könnte dieses Problem möglicherweise ausnutzen, um
bestimmte Hostnamen-Validierungsprüfungen zu umgehen. (CVE-2025-1220)

Es wurde entdeckt, dass PHP die Funktionen pgsql und pdo_pgsql
Escape-Funktionen falsch behandelt. Ein entfernter Angreifer könnte dieses Problem möglicherweise ausnutzen, um
PHP zum Absturz bringen, was zu einem Denial-of-Service führen kann. (CVE-2025-1735)

Es wurde entdeckt, dass PHP das Parsen bestimmter XML-Daten in
SOAP-Erweiterungen. Ein entfernter Angreifer könnte dieses Problem möglicherweise ausnutzen, um
PHP zum Absturz bringen, was zu einem Denial-of-Service führen kann. (CVE-2025-6491)

Anweisungen zur Aktualisierung
Das Problem kann behoben werden, indem Sie Ihr System auf die folgenden Paketversionen aktualisieren:
25.04 plucky

• libapache2-mod-php8.4 - 8.4.5-1ubuntu1.1
• php8.4 - 8.4.5-1ubuntu1.1
• php8.4-cgi - 8.4.5-1ubuntu1.1
• php8.4-cli - 8.4.5-1ubuntu1.1
• php8.4-fpm - 8.4.5-1ubuntu1.1
• php8.4-pgsql - 8.4.5-1ubuntu1.1

24.04 edel:

• libapache2-mod-php8.3 - 8.3.6-0ubuntu0.24.04.5
• php8.3 - 8.3.6-0ubuntu0.24.04.5
• php8.3-cgi - 8.3.6-0ubuntu0.24.04.5
• php8.3-cli - 8.3.6-0ubuntu0.24.04.5
• php8.3-fpm - 8.3.6-0ubuntu0.24.04.5
• php8.3-pgsql - 8.3.6-0ubuntu0.24.04.5

22.04 jammy

• libapache2-mod-php7.4 - 8.1.2-1ubuntu2.22
• libapache2-mod-php8.0 - 8.1.2-1ubuntu2.22
• libapache2-mod-php8.1 - 8.1.2-1ubuntu2.22
• php8.1 - 8.1.2-1ubuntu2.22
• php8.1-cgi - 8.1.2-1ubuntu2.22
• php8.1-cli - 8.1.2-1ubuntu2.22
• php8.1-fpm - 8.1.2-1ubuntu2.22
• php8.1-pgsql - 8.1.2-1ubuntu2.22