PHP 4.4.6 korrigiert Fehler in aktueller Version

Drei Sicherheitslücken am ersten Tag des "Month of PHP Bugs"

In die Version 4.4.5 von PHP hat sich ein Fehler eingeschlichen, der PHP unter nicht unüblichen Umständen zum Absturz bringen kann. Derweil hat Stefan Esser die ersten Sicherheitslücken im Rahmen des von ihm ausgerufenen "Month of PHP Bugs" veröffentlicht.

Artikel veröffentlicht am ,

PHP 4.4.5 kann abstürzen, wenn die Session-Erweiterung zusammen mit "register_globals" genutzt wurde. In früheren Versionen ist dieser Fehler nicht vorhanden. Mit der Version 4.4.5 wurden aber einige Sicherheitslücken geschlossen, so dass sich nun ein Update auf PHP 4.4.6 empfiehlt.

Stellenmarkt
  1. Sachbearbeiterin / Sachbearbeiter (w/m/d) "Pru?ferin / Pru?fer" in der Innenrevision - Bereich ... (m/w/d)
    Bundesanstalt für Immobilienaufgaben, Bonn
  2. Hardware Product Manager (m/w/d) Telematics Hardware
    MECOMO AG, Unterschleißheim bei München
Detailsuche

Darüber hinaus wird PHP 4.4.6 auch mit der neuen Version 7.0 der Bibliothek PCRE für reguläre Ausdrücke ausgeliefert und es werden weitere Fehler beseitigt. PHP 4.4.6 steht ab sofort unter php.net zum Download bereit.

In der neuen Version nicht bereinigt sind die ersten im Rahmen des "Month of PHP Bugs" von Stefan Esser veröffentlichten Sicherheitslücken. Eine Sicherheitslücke beschreibt Esser als PHP 4 Userland ZVAL Reference Counter Overflow Vulnerability, die es einem lokalen Angreifer erlaubt, PHP-Code oder ggf. Befehle mit Root-Rechten auszuführen. Der Fehler ist laut Esser seit Jahren bekannt, aber nicht beseitigt worden, da dann proprietäre Erweiterungen nicht mehr funktionieren. Allerdings ist davon nur PHP 4 betroffen.

Die zweite, laut Esser ebenfalls bereits bekannte, aber nicht beseitigte Lücke erlaubt es, PHP über eine tiefe Rekursion zum Absturz zu bringen (PHP Executor Deep Recursion Stack Overflow). Ähnlich gelagert ist die dritte Sicherheitslücke im Bunde, die Esser als PHP Variable Destructor Deep Recursion Stack Overflow beschreibt. Die beiden letztgenannten sollen sich allerdings durch den Suhosin-Patch des Hardened-PHP-Projekt beseitigen lassen, das diese harten Limits an entsprechenden Stellen setzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Blar 02. Mär 2007

davor du das machst, benutze lieber register_globals, dass ist wenigstens sicherer als...

PythonCoder 02. Mär 2007

Ich hab bisher in 3 Server-Techniken gecoded: JSP, PHP und seit nem halben Jahr in Python...

Crocus 02. Mär 2007

Der Fehler sitzt IMMER vor dem Rechner ... aber das brauch ich Dir ja nicht zu erzählen ^^



Aktuell auf der Startseite von Golem.de
Rakuten
"Wir bauen 4. deutsches Netz mit x86-Standard-Hardware"

Billige Hardware soll 1&1 United Internet Kosten sparen. Doch in Japan explodieren bei Rakuten die Ausgaben.

Rakuten: Wir bauen 4. deutsches Netz mit x86-Standard-Hardware
Artikel
  1. Alder Lake: Intel will mit 241 Watt an die Spitze
    Alder Lake
    Intel will mit 241 Watt an die Spitze

    Kurz vor dem Launch zeigt Intel eigene Benchmarks zu Alder Lake, außerdem gibt es Details zur Kühlung und zum Denuvo-DRM.
    Ein Bericht von Marc Sauter

  2. Mäuse, Tastaturen, Headsets: Logitech hat mit Lieferengpässen zu kämpfen
    Mäuse, Tastaturen, Headsets
    Logitech hat mit Lieferengpässen zu kämpfen

    Die große Nachfrage während der Coronapandemie hat Logitech 82 Prozent mehr Umsatz beschert. Allerdings kommt die Lieferung nicht hinterher.

  3. Impfnachweise: Covid-Zertifikat für Adolf Hitler aufgetaucht
    Impfnachweise
    Covid-Zertifikat für Adolf Hitler aufgetaucht

    Im Internet sind gefälschte, aber korrekt signierte QR-Codes mit Covid-Impfnachweisen aufgetaucht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 4K-Monitore & TVs günstiger (u. a. 50" QLED 2021 749€) • Seagate Exos 18TB 319€ • Alternate-Deals (u. a. Asus B550-Plus Mainboard 118€) • Neues Xiaomi 11T 256GB 549,90€ • Ergotron LX Desk Mount Monitorhalterung 124,90€ • Speicherprodukte von Sandisk & WD [Werbung]
    •  /