• IT-Karriere:
  • Services:

PHP 4.4.6 korrigiert Fehler in aktueller Version

Drei Sicherheitslücken am ersten Tag des "Month of PHP Bugs"

In die Version 4.4.5 von PHP hat sich ein Fehler eingeschlichen, der PHP unter nicht unüblichen Umständen zum Absturz bringen kann. Derweil hat Stefan Esser die ersten Sicherheitslücken im Rahmen des von ihm ausgerufenen "Month of PHP Bugs" veröffentlicht.

Artikel veröffentlicht am ,

PHP 4.4.5 kann abstürzen, wenn die Session-Erweiterung zusammen mit "register_globals" genutzt wurde. In früheren Versionen ist dieser Fehler nicht vorhanden. Mit der Version 4.4.5 wurden aber einige Sicherheitslücken geschlossen, so dass sich nun ein Update auf PHP 4.4.6 empfiehlt.

Stellenmarkt
  1. Westfälische Lebensmittelwerke Lindemann GmbH & Co. KG', Bünde
  2. enowa AG, München, Stuttgart, Düsseldorf, Hannover

Darüber hinaus wird PHP 4.4.6 auch mit der neuen Version 7.0 der Bibliothek PCRE für reguläre Ausdrücke ausgeliefert und es werden weitere Fehler beseitigt. PHP 4.4.6 steht ab sofort unter php.net zum Download bereit.

In der neuen Version nicht bereinigt sind die ersten im Rahmen des "Month of PHP Bugs" von Stefan Esser veröffentlichten Sicherheitslücken. Eine Sicherheitslücke beschreibt Esser als PHP 4 Userland ZVAL Reference Counter Overflow Vulnerability, die es einem lokalen Angreifer erlaubt, PHP-Code oder ggf. Befehle mit Root-Rechten auszuführen. Der Fehler ist laut Esser seit Jahren bekannt, aber nicht beseitigt worden, da dann proprietäre Erweiterungen nicht mehr funktionieren. Allerdings ist davon nur PHP 4 betroffen.

Die zweite, laut Esser ebenfalls bereits bekannte, aber nicht beseitigte Lücke erlaubt es, PHP über eine tiefe Rekursion zum Absturz zu bringen (PHP Executor Deep Recursion Stack Overflow). Ähnlich gelagert ist die dritte Sicherheitslücke im Bunde, die Esser als PHP Variable Destructor Deep Recursion Stack Overflow beschreibt. Die beiden letztgenannten sollen sich allerdings durch den Suhosin-Patch des Hardened-PHP-Projekt beseitigen lassen, das diese harten Limits an entsprechenden Stellen setzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. (u. a. Asus Rog Strix X570-F + Ryzen 7 3700X für 555,00€, Asus Tuf B450-Plus + Ryzen 7 2700 für...
  3. 419,00€ (Bestpreis!)

Blar 02. Mär 2007

davor du das machst, benutze lieber register_globals, dass ist wenigstens sicherer als...

PythonCoder 02. Mär 2007

Ich hab bisher in 3 Server-Techniken gecoded: JSP, PHP und seit nem halben Jahr in Python...

Crocus 02. Mär 2007

Der Fehler sitzt IMMER vor dem Rechner ... aber das brauch ich Dir ja nicht zu erzählen ^^


Folgen Sie uns
       


Nintendo Ring Fit Adventure angespielt

Mit Ring Fit Adventure können Spieler auf der Nintendo Switch einen Drachen bekämpfen - und dabei gleichzeitig Sport machen.

Nintendo Ring Fit Adventure angespielt Video aufrufen
Power-to-X: Sprit aus Ökostrom, Luft und Wasser
Power-to-X
Sprit aus Ökostrom, Luft und Wasser

Die Energiewende ist ohne synthetische Treibstoffe nicht zu schaffen. In Karlsruhe ist eine Anlage in Betrieb gegangen, die das mithilfe von teilweise völlig neuen Techniken schafft.
Ein Bericht von Wolfgang Kempkens

  1. The Ocean Cleanup Interceptor fischt Plastikmüll aus Flüssen
  2. The Ocean Cleanup Überarbeiteter Müllfänger sammelt Plastikteile im Pazifik

Fritzbox mit Docsis 3.1 in der Praxis: Hurra, wir haben Gigabit!
Fritzbox mit Docsis 3.1 in der Praxis
Hurra, wir haben Gigabit!

Die Fritzbox 6591 Cable für den Einsatz in Gigabit-Kabelnetzen ist seit Mai im Handel erhältlich. Wir haben getestet, wie schnell Vodafone mit Docsis 3.1 tatsächlich Daten überträgt und ob sich der Umstieg auf einen schnellen Router lohnt.
Ein Praxistest von Friedhelm Greis

  1. Nodesplits Vodafone bietet 500 MBit/s für 20 Millionen Haushalte
  2. Sercomm Kabelmodem für bis zu 2,5 GBit/s vorgestellt
  3. Kabelnetz Die Marke Unitymedia wird verschwinden

Nitrokey und Somu im Test: Zwei Fido-Sticks für alle Fälle
Nitrokey und Somu im Test
Zwei Fido-Sticks für alle Fälle

Sie sind winzig und groß, sorgen für mehr Sicherheit bei der Anmeldung per Webauthn und können gepatcht werden: Die in Kürze erscheinenden Fido-Sticks von Nitrokey und Solokeys machen so manches besser als die Konkurrenz von Google und Yubico. Golem.de konnte bereits vorab zwei Prototypen testen.
Ein Test von Moritz Tremmel

  1. iOS 13 iPhone bekommt Webauthn per NFC
  2. Webauthn unter Android ausprobiert Dropbox kann, was andere nicht können

    •  /