PHP 5.1.2 erschienen [2.Update]
Die Skriptsprache PHP liegt nun in der Version 5.1.2 vor, die mehrere Sicherheitslücken schließt, 85 Fehlerbereinigungen und außerdem einige Funktionserweiterungen enthält.
Das Update der Skriptsprache PHP auf 5.1.2 behebt diverse Fehler und schließt einige Sicherheitslücken seit der etwas überstürzt herausgebrachten Version 5.1.1. Neben 85 Bugfixes bringt die neue Release aber auch einige Funktionserweiterungen.
So ist die Unterstützung für die gebräuchlichen Hash-Algorithmen nun ebenso integriert wie der XMLWriter oder die Kompression des PNG-Bildformats. Oracle-Datenbanken können nun über eine neue OCI8-Erweiterung angesprochen werden. Eine vollständige Liste der Änderungen findet sich im Changelog.
Update
Unter anderem ist in der neuen Version auch eine Format-String-Schwachstelle in der mysqli-Erweiterung beseitigt, mit der sich Code einschleusen und ausführen lässt. Ursache des Problems ist die fehlerhafte Verarbeitung von Error-Meldungen. Laut Stefan Esser, Entdecker der Lücke, ist es allerdings nicht so einfach, manipulierte Fehlermeldungen zu übergeben. Ausgeschlossen ist es indes nicht, beispielsweise kann ein Angreifer einen MySQL-Server unter seine Kontrolle bringen und dessen Fehlermeldungen manipulieren.
Zudem berichtet Esser über eine Lücke in der Session-Extension, die sich für sogenannte HTTP-Response-Splitting-Attacken ausnutzen lässt. Dabei kann ein Angreifer eigene HTTP-Daten in die Antworten eines Servers einschleusen und etwa für Cross-Site-Scripting- und Phishing-Attacken ausnutzen.
Siehe dazu auch: (mhe)
- PHP ext/mysqli Format String Vulnerability Fehlerreport von Hardened-PHP Project
- PHP ext/session HTTP Response Splitting Vulnerability Fehlerreport von Hardened-PHP Project
