Menü
Security

Neue PHP-Versionen schließen zahlreiche Lücken

vorlesen Drucken Kommentare lesen 220 Beiträge

PHP 5.2.2 und 4.4.7 stehen zum Download bereit. In beiden Versionen wurden zahlreiche Sicherheitslücken geschlossen, die teilweise im Rahmen des Month of PHP Bugs aufgedeckt wurden. Allein Version 5.2.2 weist im Changelog 15 Einträge zu Schwachstellen auf, in Version 4.4.7 sind dies immerhin noch 11.

Die meisten geschlossenen Sicherheitslücken ließen sich nur lokal ausnutzen, was aber insbesondere Nutzer von Shared Webspace in Gefahr brachte. Eine Lücke in der Verabeitung von XML-RPC-Request soll sich aber auch aus der Ferne ausnutzen lassen, um einen Server zu kompromittieren. Diese ist nun auch in beiden Versionen geschlossen.

Darüber hinaus wurden viele nicht sicherheitsrelevante Fehler behoben und mehrere Verbesserungen hinzugefügt. Ubuntu und Debian haben bereits neue PHP-Pakete zur Verfügung gestellt, die anderen Distributoren dürften demnächst nachziehen. Anwender sollten so bald wie möglich auf die neuen Versionen wechseln oder die Pakete einspielen.

Siehe dazu auch:

(dab)