PHP 5.2.0 bringt Sicherheitsfixes und neue Funktionen [Update]

Die neue Version 5.2.0 der Open-Source-Skriptsprache PHP löst nicht nur den 5.1er-Zweig ab, sondern schließt auch einige Sicherheitslücken. Weiterhin haben die Entwickler neue Funktionen hinzugefügt, die die Sicherheit erhöhen und die Handhabung vereinfachen sollen.

Die neue Option allow_url_include steuert, ob Includes URLs enthalten dürfen oder nicht; standardmäßig verbietet sie URLs. Die PostgreSQL- und PDO-Erweiterungen prüfen nun die Zeichenkodierung, wann immer dies möglich ist. Die safe_mode- und open_basedir-Einstellungen überprüft PHP 5.2.0 auch in der cURL-Funktion. Auf 64-Bit-Systemen konnte in den Funktionen str_repeat() und wordwrap() ein Überlauf auftreten. Das Umgehen von PHP-Einstellungen durch die Funktion ini_restore() ist nicht mehr möglich.

Stefan Esser hat außerdem Schwachstellen in den Funktionen htmlspecialchars() und htmlentities() gemeldet, in denen Angreifer Pufferüberläufe auslösen können. Da diese PHP-Funktionen Benutzereingaben vor der Ausgabe in HTML-Seiten filtern, kommen sie ständig in PHP-Anwendungen zum Einsatz und sind daher als besonders kritisch anzusehen. Auch dieses Leck in PHP 5.1.6 und 4.4.4 und vorherigen Versionen schließt die Fassung 5.2.0.

Nicht nur sicherheitsrelevante Änderungen haben die Entwickler in PHP 5.2.0 einfließen lassen. So hat die Zend Engine einen neuen Speichermanager erhalten, der sich positiv auf die Geschwindigkeit auswirken soll. Nebenbei schließt der Memory-Manager aber zusätzlich eine Schwachstelle in der unserialize()-Funktion. Neue Erweiterungen sollen die Handhabung vereinfachen, so unterstützt PHP jetzt standardmäßig Eingabefilterung und ZIP. Mit der JSON-Erweiterung können Daten und Objekte in PHP-Notation in die JavaScript-Objekt-Notation überführt werden. Ebenfalls neu sind Date- und DateTime-Objekte. Von PHP mitgelieferte Bibliotheken sind jetzt in aktualisierten Fassungen an Bord.

Insgesamt wollen die Programmierer 200 weitere Fehler behoben und die Performance verbessert haben. Die PHP-Entwickler raten in der Ankündigung der neuen Version auf der Projekt-Homepage Nutzern von PHP dazu, möglichst zügig auf PHP 5.2.0 umzusteigen.

Update:
Einige Linux-Distributoren liefern auch PHP4-Pakete mit dem Patch für die von Esser gemeldete Lücke aus. Ein offizielles Update für PHP4 etwa in Form von PHP 4.4.5 gibt es jedoch noch nicht.

Siehe dazu auch: (dmk/c't)

• Releasenotes mit Changelog zu PHP 5.2.0
• PHP HTML Entity Encoder Heap Overflow Vulnerability, Sicherheitsmeldung von Stefan Esser