Kritische Lücken in PHP geschlossen

Ein ganzer Schwung Sicherheitsupdates beseitigt kritische Schwachstellen in PHP. Darunter befindet sich eine Lücke in der Funktion escapeshellarg(), durch die Angreifer Shell-Befehle auf dem Server ausführen können. Einige der Schwachstellen befinden sich in dem mitgelieferten sqlite, das durch die Updates auf den aktuellen, sicheren Stand gebracht wird.

Die abgesicherten PHP-Versionen lauten 5.6.10, 5.5.26 und 5.4.42, verwundbar sind alle älteren. Wer einen Server administriert, auf dem PHP zum Einsatz kommt, sollte möglichst schnell auf eine davon umsteigen (Linux / Windows). (rei)