PHP 4.4.6 korrigiert Fehler in aktueller Version

Drei Sicherheitslücken am ersten Tag des "Month of PHP Bugs"

In die Version 4.4.5 von PHP hat sich ein Fehler eingeschlichen, der PHP unter nicht unüblichen Umständen zum Absturz bringen kann. Derweil hat Stefan Esser die ersten Sicherheitslücken im Rahmen des von ihm ausgerufenen "Month of PHP Bugs" veröffentlicht.

Artikel veröffentlicht am ,

PHP 4.4.5 kann abstürzen, wenn die Session-Erweiterung zusammen mit "register_globals" genutzt wurde. In früheren Versionen ist dieser Fehler nicht vorhanden. Mit der Version 4.4.5 wurden aber einige Sicherheitslücken geschlossen, so dass sich nun ein Update auf PHP 4.4.6 empfiehlt.

Stellenmarkt
  1. IT Services Technician (m/f/d)
    KLDiscovery Ontrack GmbH, Böblingen
  2. Senior Network and Security Engineer (f/m/d)
    EMBL Heidelberg, Heidelberg
Detailsuche

Darüber hinaus wird PHP 4.4.6 auch mit der neuen Version 7.0 der Bibliothek PCRE für reguläre Ausdrücke ausgeliefert und es werden weitere Fehler beseitigt. PHP 4.4.6 steht ab sofort unter php.net zum Download bereit.

In der neuen Version nicht bereinigt sind die ersten im Rahmen des "Month of PHP Bugs" von Stefan Esser veröffentlichten Sicherheitslücken. Eine Sicherheitslücke beschreibt Esser als PHP 4 Userland ZVAL Reference Counter Overflow Vulnerability, die es einem lokalen Angreifer erlaubt, PHP-Code oder ggf. Befehle mit Root-Rechten auszuführen. Der Fehler ist laut Esser seit Jahren bekannt, aber nicht beseitigt worden, da dann proprietäre Erweiterungen nicht mehr funktionieren. Allerdings ist davon nur PHP 4 betroffen.

Die zweite, laut Esser ebenfalls bereits bekannte, aber nicht beseitigte Lücke erlaubt es, PHP über eine tiefe Rekursion zum Absturz zu bringen (PHP Executor Deep Recursion Stack Overflow). Ähnlich gelagert ist die dritte Sicherheitslücke im Bunde, die Esser als PHP Variable Destructor Deep Recursion Stack Overflow beschreibt. Die beiden letztgenannten sollen sich allerdings durch den Suhosin-Patch des Hardened-PHP-Projekt beseitigen lassen, das diese harten Limits an entsprechenden Stellen setzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Blar 02. Mär 2007

davor du das machst, benutze lieber register_globals, dass ist wenigstens sicherer als...

PythonCoder 02. Mär 2007

Ich hab bisher in 3 Server-Techniken gecoded: JSP, PHP und seit nem halben Jahr in Python...

Crocus 02. Mär 2007

Der Fehler sitzt IMMER vor dem Rechner ... aber das brauch ich Dir ja nicht zu erzählen ^^



Aktuell auf der Startseite von Golem.de
Kaufberatung
2022 war ein besonders guter ANC-Kopfhörerjahrgang

Wer derzeit nach einem besonders guten Kopfhörer oder Bluetooth-Hörstöpseln mit Active Noise Cancellation (ANC) sucht, hat es so einfach wie noch nie.
Ein Ratgebertext von Ingo Pakalski

Kaufberatung: 2022 war ein besonders guter ANC-Kopfhörerjahrgang
Artikel
  1. Tesla-Fabrik: In Grünheide soll totales Chaos herrschen
    Tesla-Fabrik
    In Grünheide soll "totales Chaos" herrschen

    Die Tesla-Fabrik in Grünheide hinkt ihren Produktionszielen noch weit hinterher. Es gibt zu wenig Personal oder die Mitarbeiter kündigen wieder.

  2. ANC-Kopfhörer mit Luftreiniger: Dyson verlangt für Zone 900 Euro
    ANC-Kopfhörer mit Luftreiniger
    Dyson verlangt für Zone 900 Euro

    Dyson hat weitere Details zum ANC-Kopfhörer mit Luftreinigerfunktion genannt. Mit einem Preis von 900 Euro wird er sehr teuer.

  3. Konkurrenz für Disney+ und Netflix: Paramount+ startet in Deutschland
    Konkurrenz für Disney+ und Netflix
    Paramount+ startet in Deutschland

    Der Wettbewerbsdruck steigt weiter. Paramount startet mit seinem Streamingdienst Paramount+ in Deutschland unter anderem mit vielen Star-Trek-Serien.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung SSDs bis -28% • Logitech Mäuse, Tastaturen & Headsets bis -53% • HyperX PC-Peripherie bis -56% • Google Pixel 6 & 7 bis -49% • PS5-Spiele günstiger • Tiefstpreise: Asus RTX 4080 1.640,90€, Roccat Kone Pro 39,99€, Asus RTX 6950 XT 939€ • Amazon Last Minute Angebote [Werbung]
    •  /