PHP 4.4.6 korrigiert Fehler in aktueller Version
Drei Sicherheitslücken am ersten Tag des "Month of PHP Bugs"
In die Version 4.4.5 von PHP hat sich ein Fehler eingeschlichen, der PHP unter nicht unüblichen Umständen zum Absturz bringen kann. Derweil hat Stefan Esser die ersten Sicherheitslücken im Rahmen des von ihm ausgerufenen "Month of PHP Bugs" veröffentlicht.
PHP 4.4.5 kann abstürzen, wenn die Session-Erweiterung zusammen mit "register_globals" genutzt wurde. In früheren Versionen ist dieser Fehler nicht vorhanden. Mit der Version 4.4.5 wurden aber einige Sicherheitslücken geschlossen, so dass sich nun ein Update auf PHP 4.4.6 empfiehlt.
Darüber hinaus wird PHP 4.4.6 auch mit der neuen Version 7.0 der Bibliothek PCRE für reguläre Ausdrücke ausgeliefert und es werden weitere Fehler beseitigt. PHP 4.4.6 steht ab sofort unter php.net zum Download bereit.
In der neuen Version nicht bereinigt sind die ersten im Rahmen des "Month of PHP Bugs" von Stefan Esser veröffentlichten Sicherheitslücken. Eine Sicherheitslücke beschreibt Esser als PHP 4 Userland ZVAL Reference Counter Overflow Vulnerability, die es einem lokalen Angreifer erlaubt, PHP-Code oder ggf. Befehle mit Root-Rechten auszuführen. Der Fehler ist laut Esser seit Jahren bekannt, aber nicht beseitigt worden, da dann proprietäre Erweiterungen nicht mehr funktionieren. Allerdings ist davon nur PHP 4 betroffen.
Die zweite, laut Esser ebenfalls bereits bekannte, aber nicht beseitigte Lücke erlaubt es, PHP über eine tiefe Rekursion zum Absturz zu bringen (PHP Executor Deep Recursion Stack Overflow). Ähnlich gelagert ist die dritte Sicherheitslücke im Bunde, die Esser als PHP Variable Destructor Deep Recursion Stack Overflow beschreibt. Die beiden letztgenannten sollen sich allerdings durch den Suhosin-Patch des Hardened-PHP-Projekt beseitigen lassen, das diese harten Limits an entsprechenden Stellen setzt.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed








davor du das machst, benutze lieber register_globals, dass ist wenigstens sicherer als...
Ich hab bisher in 3 Server-Techniken gecoded: JSP, PHP und seit nem halben Jahr in Python...
Der Fehler sitzt IMMER vor dem Rechner ... aber das brauch ich Dir ja nicht zu erzählen ^^