PHP 5.2.4 - mehr Stabilität, weniger Fehler

In der Version 5.2.4 der Skriptsprache PHP räumen die Entwickler mit einigen als nicht kritisch eingestuften Sicherheitslücken und zahlreichen weiteren Fehlern auf, die sich auf die Stabilität der Software auswirken. Insgesamt wollen die Programmierer mehr als 120 Fehler beseitigt haben.

Unter anderem war es in den Vorversionen möglich, Beschränkungen durch open_basedir in der Funktion glob() oder in der session-Erweiterung zu umgehen, wenn die session-Datei ein symbolischer Link war. Außerdem konnten in der GD-Erweiterung Integer-Überlaufe auftreten. Die mitgelieferte PCRE-Komponente zur Verarbeitung von regulären Ausdrücken wurde auf den Versionsstand 7.2 gehievt.

Laut Stefan Esser haben die Entwickler auch eine Denial-of-Service-Lücke (DoS) geschlossen. Mit Version 5.2.2 von PHP hatten sie standardmäßig die maximale Tiefe von Arrays auf 64 gesetzt, um einen beim Month of PHP-Bugs veröffentlichten Fehler zu beheben. Dies betrifft nicht nur die HTTP-Methoden POST und GET, sondern auch Cookies. In manchen Webbrowsern können Esser zufolge Seiten unter Umständen für Top-Level-Domains Cookies anlegen, wodurch PHP-generierte Webseiten auf verwundbaren PHP-Installationen in dieser Domain Fehlerseiten oder leere Seiten ausliefern.

Die weiteren Lücken ließen sich offenbar nur in Verbindung mit anderen Schwachstellen ausnutzen. Die vollständige Liste der Änderungen listet das Changelog zu dem neuen Release auf. Die PHP-Entwickler raten allen PHP-Nutzern zu einem Upgrade auf die Version 5.2.4, die auf den Seiten des Projektes zum Download bereitsteht.

Siehe dazu auch:

• Release-Ankündigung zu PHP 5.2.4
• Changelog zu PHP 5.2.4
• Download der aktuellen PHP-Version

(dmk/c't)