PHP 4.4.6 korrigiert Fehler in aktueller Version

Drei Sicherheitslücken am ersten Tag des "Month of PHP Bugs"

In die Version 4.4.5 von PHP hat sich ein Fehler eingeschlichen, der PHP unter nicht unüblichen Umständen zum Absturz bringen kann. Derweil hat Stefan Esser die ersten Sicherheitslücken im Rahmen des von ihm ausgerufenen "Month of PHP Bugs" veröffentlicht.

Artikel veröffentlicht am ,

PHP 4.4.5 kann abstürzen, wenn die Session-Erweiterung zusammen mit "register_globals" genutzt wurde. In früheren Versionen ist dieser Fehler nicht vorhanden. Mit der Version 4.4.5 wurden aber einige Sicherheitslücken geschlossen, so dass sich nun ein Update auf PHP 4.4.6 empfiehlt.

Darüber hinaus wird PHP 4.4.6 auch mit der neuen Version 7.0 der Bibliothek PCRE für reguläre Ausdrücke ausgeliefert und es werden weitere Fehler beseitigt. PHP 4.4.6 steht ab sofort unter php.net zum Download bereit.

In der neuen Version nicht bereinigt sind die ersten im Rahmen des "Month of PHP Bugs" von Stefan Esser veröffentlichten Sicherheitslücken. Eine Sicherheitslücke beschreibt Esser als PHP 4 Userland ZVAL Reference Counter Overflow Vulnerability, die es einem lokalen Angreifer erlaubt, PHP-Code oder ggf. Befehle mit Root-Rechten auszuführen. Der Fehler ist laut Esser seit Jahren bekannt, aber nicht beseitigt worden, da dann proprietäre Erweiterungen nicht mehr funktionieren. Allerdings ist davon nur PHP 4 betroffen.

Die zweite, laut Esser ebenfalls bereits bekannte, aber nicht beseitigte Lücke erlaubt es, PHP über eine tiefe Rekursion zum Absturz zu bringen (PHP Executor Deep Recursion Stack Overflow). Ähnlich gelagert ist die dritte Sicherheitslücke im Bunde, die Esser als PHP Variable Destructor Deep Recursion Stack Overflow beschreibt. Die beiden letztgenannten sollen sich allerdings durch den Suhosin-Patch des Hardened-PHP-Projekt beseitigen lassen, das diese harten Limits an entsprechenden Stellen setzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Blar 02. Mär 2007

davor du das machst, benutze lieber register_globals, dass ist wenigstens sicherer als...

PythonCoder 02. Mär 2007

Ich hab bisher in 3 Server-Techniken gecoded: JSP, PHP und seit nem halben Jahr in Python...

Crocus 02. Mär 2007

Der Fehler sitzt IMMER vor dem Rechner ... aber das brauch ich Dir ja nicht zu erzählen ^^



Aktuell auf der Startseite von Golem.de
Star Wars
Holiday Special jetzt in 4K mit 60 fps

Eine bessere Story bekommt der legendär schlechte Film dadurch leider nicht. Bis heute lieben ihn einige Fans aber vor allem wegen seiner Absurdität.

Star Wars: Holiday Special jetzt in 4K mit 60 fps
Artikel
  1. Lohn und Gehalt: OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr
    Lohn und Gehalt
    OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr

    Die Firma hinter Chat-GPT zahlt im Vergleich zu Unternehmen wie Nvidia besonders gut. Erfahrene Forscher und Entwickler auf dem Gebiet sind Mangelware.

  2. Software-Probleme: Elektrischer Chevy Blazer mit Verkaufsstopp belegt
    Software-Probleme
    Elektrischer Chevy Blazer mit Verkaufsstopp belegt

    Chevrolet hat einen Verkaufsstopp für sein neues Elektro-SUV Blazer verhängt, weil die Besitzer zahlreiche Softwareprobleme gemeldet haben.

  3. USA: Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu
    USA
    Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu

    Das US-Solarunternehmen iSun und der deutschen Agrivoltaik-Firma Next2Sun bauen in den USA eine Solaranlage mit vertikal aufgestellten Solarmodulen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Crucial P5 Plus 2 TB mit Kühlkörper 114,99€ • Crucial Pro 32 GB DDR5-5600 79,99€ • Logitech G915 TKL LIGHTSYNC RGB 125,11€ • Anthem PC 0,99€ • Wochenendknaller bei MediaMarkt • MindStar: Patriot Viper VENOM 64 GB DDR5-6000 159€, XFX RX 7900 XT Speedster MERC 310 Black 789€ [Werbung]
    •  /